Руткит - Rootkit
А руткит это собрание компьютерное программное обеспечение обычно злой, предназначенный для обеспечения доступа к компьютеру или области его программного обеспечения, который не разрешен иным образом (например, для неавторизованного пользователя), и часто скрывает свое существование или существование другого программного обеспечения.[1] Период, термин руткит это сложный из "корень "(традиционное имя привилегированной учетной записи на Unix-подобный операционные системы) и слово «комплект» (которое относится к программным компонентам, реализующим инструмент). Термин «руткит» имеет негативный оттенок из-за его связи с вредоносное ПО.[1]
Установка руткита может быть автоматизирована, либо злоумышленник можете установить его после получения root-прав или прав администратора. Получение такого доступа является результатом прямой атаки на систему, т. Е. Использования известной уязвимости (например, повышение привилегий ) или пароль (получено треск или же социальная инженерия тактика вроде "фишинг "). После установки становится возможным скрыть вторжение, а также поддерживать привилегированный доступ. Полный контроль над системой означает, что существующее программное обеспечение может быть изменено, включая программное обеспечение, которое в противном случае могло бы использоваться для его обнаружения или обхода.
Обнаружение руткитов затруднено, поскольку руткит может нарушить работу программного обеспечения, предназначенного для его обнаружения. Методы обнаружения включают использование альтернативных и надежных Операционная система, поведенческие методы, сканирование сигнатур, сканирование различий и дамп памяти анализ. Удаление может быть сложным или практически невозможным, особенно в тех случаях, когда руткит находится в ядро; переустановка операционной системы может быть единственным доступным решением проблемы.[2] При работе с прошивка руткиты, для удаления может потребоваться аппаратное обеспечение замена, или специализированное оборудование.
История
Период, термин руткит или же корневой комплект первоначально назывался злонамеренно измененный набор инструментов администрирования для Unix-подобный Операционная система что предоставлено "корень " доступ.[3] Если бы злоумышленник мог заменить стандартные административные инструменты в системе руткитом, он мог бы получить root-доступ в системе, одновременно скрывая эти действия от легитимных Системный администратор. Эти руткиты первого поколения было тривиально обнаружить с помощью таких инструментов, как Tripwire это не было скомпрометировано для доступа к той же информации.[4][5] Лейн Дэвис и Стивен Дэйк написали самый ранний известный руткит в 1990 году для Sun Microsystems ' SunOS Операционная система UNIX.[6] В лекции, которую он прочитал после получения Премия Тьюринга в 1983 г. Кен Томпсон из Bell Labs, один из создателей Unix, теоретизировал о подрыве Компилятор C в дистрибутиве Unix и обсудил эксплойт. Модифицированный компилятор обнаружит попытки скомпилировать Unix авторизоваться
команда и сгенерировать измененный код, который будет принимать не только правильный пароль пользователя, но и дополнительный "задняя дверь "пароль, известный злоумышленнику. Кроме того, компилятор обнаружит попытки скомпилировать новую версию компилятора и вставит те же эксплойты в новый компилятор. Обзор исходного кода для авторизоваться
команда или обновленный компилятор не обнаружит вредоносного кода.[7] Этот эксплойт был эквивалентом руткита.
Первые задокументированные Компьютерный вирус нацеливаться на персональный компьютер, обнаружен в 1986 г., использовался маскировка методы, чтобы спрятаться: Мозговой вирус перехваченные попытки прочитать загрузочный сектор, и перенаправил их в другое место на диске, где хранилась копия исходного загрузочного сектора.[1]Через некоторое время, ДОС - методы маскировки вирусов стали более изощренными, включая передовые методы, включая зацепление низкоуровневого диска ИНТ 13H BIOS прерывать призывает скрыть несанкционированные изменения файлов.[1]
Первый вредоносный руткит для Windows NT операционная система появилась в 1999 году: троян под названием NTRootkit сделано Грег Хоглунд.[8] За этим последовало HackerDefender в 2003 г.[1] Первый нацеленный на руткит Mac OS X появился в 2009 г.,[9] в то время как Stuxnet червь первым нацелился программируемые логические контроллеры (ПЛК).[10]
Скандал с руткитами Sony BMG
В 2005 году, Sony BMG опубликовано Компакт-диски с защита от копирования и управление цифровыми правами программное обеспечение называется Расширенная защита от копирования, созданная софтверной компанией First 4 Internet. Программное обеспечение включало музыкальный проигрыватель, но автоматически устанавливало руткит, который ограничивал возможности пользователя получить доступ к компакт-диску.[11] Инженер-программист Марк Руссинович, создавший средство обнаружения руткитов Руткит Ревалер, обнаружил руткит на одном из своих компьютеров.[1] Последовавший за этим скандал повысил осведомленность общественности о руткитах.[12] Чтобы скрыть себя, руткит скрывал от пользователя все файлы, начинающиеся с «$ sys $». Вскоре после доклада Руссиновича появилось вредоносное ПО, которое воспользовалось этой уязвимостью пораженных систем.[1] Один BBC аналитик назвал это "связи с общественностью кошмарный сон."[13] Выпущен Sony BMG патчи к удалить руткит, но он подвергал пользователей еще более серьезной уязвимости.[14] В конце концов компания отозвала компакт-диски. В Соединенных Штатах Америки коллективный иск был возбужден против Sony BMG.[15]
Дело о прослушивании телефонных разговоров в Греции, 2004–05 годы
Дело о прослушивании телефонных разговоров в Греции в 2004–05 годах, также известное как Greek Watergate,[16] причастен к незаконному прослушивание телефонных разговоров более 100мобильные телефоны на Vodafone Греция сеть, принадлежащая в основном членам Греческий государственные и высокопоставленные государственные служащие. Установки начались примерно в начале августа 2004 г. и были сняты в марте 2005 г., личности преступников не были установлены. Злоумышленники установили руткит, нацеленный на Телефонная станция AX. В соответствии с IEEE Spectrum, это был «первый раз, когда руткит был обнаружен в системе специального назначения, в данном случае на телефонном коммутаторе Ericsson».[17] Руткит был разработан для исправления памяти биржи во время ее работы, включения прослушивание телефонных разговоров при отключении журналов аудита исправьте команды, которые перечисляют активные процессы и активные блоки данных, и измените блок данных контрольная сумма команда проверки. «Бэкдор» позволял оператору с сисадмин status для деактивации журнала транзакций биржи, сигналов тревоги и команд доступа, связанных с возможностью наблюдения.[17] Руткит был обнаружен после того, как злоумышленники установили ошибочное обновление, в результате чего SMS тексты, которые должны быть недоставлены, что приведет к созданию автоматического отчета о сбоях. Инженеры Эрикссон были вызваны для расследования неисправности и обнаружили скрытые блоки данных, содержащие список отслеживаемых телефонных номеров, а также руткит и незаконное программное обеспечение для мониторинга.
Использует
Современные руткиты не улучшают доступ,[3] а скорее используются для того, чтобы сделать другую полезную нагрузку программного обеспечения необнаружимой путем добавления скрытых возможностей.[8] Большинство руткитов классифицируются как вредоносное ПО, потому что полезные данные, с которыми они связаны, являются вредоносными. Например, полезная нагрузка может тайно украсть пользователя пароли, кредитная карта информации, вычислительных ресурсов или других несанкционированных действий. Небольшое количество руткитов могут рассматриваться их пользователями как служебные приложения: например, руткит может скрывать CD-ROM -драйвер эмуляции, позволяющий видео игра пользователей победить анти пиратство меры, требующие вставки исходного установочного носителя в физический оптический привод для проверки законности приобретения программного обеспечения.
Руткиты и их полезная нагрузка имеют множество применений:
- Предоставьте злоумышленнику полный доступ через задняя дверь, разрешая несанкционированный доступ, например, для кражи или подделки документов. Один из способов сделать это - подорвать механизм входа в систему, например программу / bin / login на Unix-подобный системы или Джина в Windows. Замена, похоже, работает нормально, но также принимает секретную комбинацию входа в систему, которая позволяет злоумышленнику прямой доступ к системе с административными привилегиями, минуя стандартные аутентификация и разрешение механизмы.
- Скрыть другое вредоносное ПО, особенно кража паролей регистраторы ключей и компьютерные вирусы.[18]
- Использовать скомпрометированную машину в качестве зомби компьютер для атак на другие компьютеры. (Атака исходит от скомпрометированной системы или сети, а не от системы злоумышленника.) Компьютеры-зомби обычно являются членами больших ботнеты который может, помимо прочего, запускать атаки отказа в обслуживании, распространять электронное письмо спам, и проводить мошенничество с кликами.
В некоторых случаях руткиты предоставляют желаемую функциональность и могут быть установлены намеренно от имени пользователя компьютера:
- Обеспечение соблюдения управление цифровыми правами (DRM).
- Обнаружить и предотвратить обман в онлайн-играх с программным обеспечением вроде Надзиратель и GameGuard.[19]
- Обнаруживать атаки, например, в горшок меда.[20]
- Улучшение программного обеспечения эмуляции и программного обеспечения безопасности.[21] Алкоголь 120% и DAEMON Tools являются коммерческими примерами не враждебных руткитов, используемых для нарушения механизмов защиты от копирования, таких как SafeDisc и SecuROM. Антивирус Касперского также использует методы, похожие на руткиты, для защиты от вредоносных действий. Он загружает свой водители для перехвата активности системы и предотвращения причинения вреда другим процессам. Его процессы не скрыты, но не могут быть остановлены стандартными методами.
- Защита от кражи. На ноутбуках может быть установлено программное обеспечение руткитов на основе BIOS, которое будет периодически сообщать центральному органу, что позволяет отслеживать, отключать или стирать информацию в случае кражи ноутбука.[22]
- В обход Активация продукта Microsoft[23]
Типы
Существует как минимум пять типов руткитов, начиная с самого низкого уровня микропрограммы (с наивысшими привилегиями) и заканчивая наименее привилегированными пользовательскими вариантами, которые работают в Кольцо 3. Их гибридные комбинации могут возникать, например, в пользовательском режиме и режиме ядра.[24]
Пользовательский режим
Руткиты пользовательского режима запускаются в Кольцо 3 вместе с другими приложениями в качестве пользователя, а не низкоуровневыми системными процессами.[25] У них есть несколько возможных векторов установки для перехвата и изменения стандартного поведения интерфейсов прикладного программирования (API). Некоторые вводят динамически связанный библиотека (например, .DLL файл в Windows или файл .dylib в Mac OS X ) в другие процессы и, таким образом, могут выполняться внутри любого целевого процесса для его подмены; другие с достаточными привилегиями просто перезаписывают память целевого приложения. Механизмы впрыска включают:[25]
- Использование расширений приложений, предоставляемых поставщиком. Например, проводник Виндоус имеет общедоступные интерфейсы, которые позволяют третьим лицам расширять его функциональность.
- Перехват Сообщения.
- Отладчики.
- Эксплуатация уязвимости безопасности.
- Функция зацепление или исправление часто используемых API, например, чтобы скрыть запущенный процесс или файл, который находится в файловой системе.[26]
... поскольку все приложения пользовательского режима запускаются в собственном пространстве памяти, руткит должен выполнять это исправление в пространстве памяти каждого запущенного приложения. Кроме того, руткит должен отслеживать в системе любые новые приложения, которые запускаются, и исправлять область памяти этих программ до их полного выполнения.
— Обзор Windows Rootkit, Symantec[3]
Режим ядра
Руткиты режима ядра запускаются с наивысшими привилегиями операционной системы (Кольцо 0 ) путем добавления кода или замены частей основной операционной системы, включая как ядро и связанные драйверы устройств. Большинство операционных систем поддерживают драйверы устройств режима ядра, которые выполняются с теми же привилегиями, что и сама операционная система. Таким образом, многие руткиты режима ядра разрабатываются как драйверы устройств или загружаемые модули, такие как загружаемые модули ядра в Linux или же драйверы устройств в Майкрософт Виндоус. Этот класс руткитов имеет неограниченный безопасный доступ, но его сложнее написать.[27] Сложность делает ошибки обычными, и любые ошибки в коде, работающем на уровне ядра, могут серьезно повлиять на стабильность системы, что приведет к обнаружению руткита.[27] Один из первых широко известных руткитов ядра был разработан для Windows NT 4.0 и выпущен в Phrack журнал в 1999 г. Грег Хоглунд.[28][29][30] Руткиты ядра могут быть особенно сложными для обнаружения и удаления, поскольку они работают одновременно уровень безопасности как сама операционная система, и, таким образом, способны перехватывать или подрывать наиболее надежные операции операционной системы. Любое программное обеспечение, например антивирусное программное обеспечение, запущенная в скомпрометированной системе, также уязвима.[31] В этой ситуации нельзя доверять ни одной части системы.
Руткит может изменять структуры данных в ядре Windows с помощью метода, известного как прямое манипулирование объектами ядра (ДКОМ).[32] Этот метод можно использовать, чтобы скрыть процессы. Руткит режима ядра также может подключать Таблица дескрипторов системной службы (SSDT), или изменить шлюзы между пользовательским режимом и режимом ядра, чтобы скрыть себя.[3] Аналогично для Linux операционной системы, руткит может изменять таблица системных вызовов чтобы подорвать функциональность ядра.[33] Часто руткит создает скрытую зашифрованную файловую систему, в которой он может скрывать другие вредоносные программы или оригинальные копии файлов, которые он заразил.[34] Операционные системы развиваются, чтобы противостоять угрозе руткитов режима ядра. Например, 64-разрядные версии Microsoft Windows теперь реализуют обязательную подпись всех драйверов уровня ядра, чтобы затруднить выполнение ненадежного кода с наивысшими привилегиями в системе.[35]
Буткиты
Вариант руткита режима ядра, называемый буткит может заразить код запуска, например Главная загрузочная запись (MBR), Объем загрузочной записи (VBR) или загрузочный сектор, и таким образом может использоваться для атаки полное шифрование диска системы.
Примером такой атаки на шифрование диска является "злая горничная атака ", в котором злоумышленник устанавливает буткит на необслуживаемый компьютер. Предполагаемый сценарий - горничная пробирается в номер отеля, где жертвы оставили свое оборудование.[36] Буткит заменяет законный загрузчик с одним под их контролем. Обычно загрузчик вредоносных программ сохраняется при переходе к защищенный режим когда ядро загружено, и, таким образом, может разрушить ядро.[37][38][39] Например, "Stoned Bootkit" разрушает систему, используя взломанный загрузчик для перехвата ключей шифрования и паролей.[40][самостоятельно опубликованный источник? ] Совсем недавно руткит Alureon успешно устранил требование для входа в 64-битный драйвер режима ядра. Windows 7, изменив Главная загрузочная запись.[41] Хотя это и не является вредоносным ПО в смысле выполнения чего-то, чего пользователь не хочет, некоторые программы «Загрузчик Vista» или «Загрузчик Windows» работают аналогичным образом, внедряя ACPI SLIC (системный лицензионный внутренний код) в кэшированной в ОЗУ версии BIOS во время загрузки, чтобы избежать Процесс активации Windows Vista и Windows 7.[42][43] Этот вектор атаки оказался бесполезным в (несерверных) версиях Windows 8, которые используют уникальный машинно-зависимый ключ для каждой системы, который может использоваться только этим одним компьютером.[44] Многие антивирусные компании предоставляют бесплатные утилиты и программы для удаления буткитов.
Уровень гипервизора
Руткиты созданы как Type II Гипервизоры в академических кругах как доказательство концепции. Используя такие функции виртуализации оборудования, как Intel VT или же AMD-V, этот тип руткита работает в кольце -1 и размещает целевую операционную систему как виртуальная машина, тем самым позволяя руткиту перехватывать аппаратные вызовы исходной операционной системы.[5] В отличие от обычных гипервизоров, они не должны загружаться перед операционной системой, но могут загружаться в операционную систему перед ее продвижением в виртуальную машину.[5] Руткит гипервизора не должен вносить никаких изменений в ядро целевого объекта, чтобы разрушить его; однако это не означает, что гостевая операционная система не может его обнаружить. Например, разницу во времени можно обнаружить в ЦПУ инструкции.[5] Лабораторный руткит "СубВирт", разработанный совместно Microsoft и университет Мичигана исследователей, является академическим примером руткита на основе виртуальной машины (VMBR),[45]пока Синяя таблетка софт другой. В 2009 году исследователи из Microsoft и Университет штата Северная Каролина продемонстрировал антируткит на уровне гипервизора под названием Hooksafe, который обеспечивает общую защиту от руткитов режима ядра.[46] Windows 10 представила новую функцию под названием «Device Guard», которая использует преимущества виртуализации для обеспечения независимой внешней защиты операционной системы от вредоносных программ типа руткитов.[47]
Прошивка и железо
А прошивка руткит использует микропрограмму устройства или платформы для создания постоянного образа вредоносной программы на оборудовании, например маршрутизатор, сетевая карта,[48] жесткий диск, или система BIOS.[25][49] Руткит прячется в прошивке, потому что прошивка обычно не проверяется на наличие целостность кода. Джон Хисман продемонстрировал жизнеспособность встроенных руткитов в обоих ACPI процедуры прошивки[50] и в PCI карта расширения ПЗУ.[51] В октябре 2008 года преступники подделали европейский кредитная карта -читывающие машины до их установки. Устройства перехватывали и передавали данные кредитной карты через сеть мобильной связи.[52] В марте 2009 г. исследователи Альфредо Ортега и Анибал Сакко опубликовал подробности BIOS -уровневый руткит Windows, который смог пережить замену диска и переустановку операционной системы.[53][54][55] Несколько месяцев спустя они узнали, что некоторые ноутбуки продаются с легальным руткитом, известным как Absolute. CompuTrace или абсолютный LoJack для ноутбуков, предустановленная во многих образах BIOS. Это анти-кража Технологическая система, которую показали исследователи, может быть использована во вредоносных целях.[22]
Технология активного управления Intel, часть Intel vPro, реализует внеполосное управление, давая администраторам удаленное администрирование, удаленное управление, и дистанционное управление компьютеров без участия главного процессора или BIOS, даже когда система выключена. Удаленное администрирование включает в себя удаленное включение и выключение питания, удаленный сброс, перенаправленную загрузку, перенаправление консоли, доступ к настройкам BIOS перед загрузкой, программируемую фильтрацию входящего и исходящего сетевого трафика, проверку присутствия агента, внеполосное управление на основе политик оповещение, доступ к системной информации, такой как информация об аппаратных активах, постоянные журналы событий и другая информация, которая хранится в выделенной памяти (не на жестком диске), где она доступна, даже если ОС не работает или компьютер выключен. Для некоторых из этих функций требуется руткит самого глубокого уровня, второй несъемный шпионский компьютер, построенный вокруг основного компьютера. Sandy Bridge и будущие чипсеты обладают «способностью удаленно уничтожать и восстанавливать утерянные или украденные ПК через 3G». Аппаратные руткиты, встроенные в чипсет могут помочь восстановить украденные компьютеры, удалить данные или сделать их бесполезными, но они также представляют проблемы конфиденциальности и безопасности, связанные с необнаружимым шпионажем и перенаправлением со стороны руководства или хакеров, которые могут получить контроль.
Установка и маскировка
Руткиты используют различные методы для получения контроля над системой; тип руткита влияет на выбор вектора атаки. Наиболее распространенная методика использования уязвимости безопасности для достижения тайного повышение привилегий. Другой подход - использовать троянский конь, обманывая пользователя компьютера, заставляя его доверять программе установки руткита как безвредной - в данном случае социальная инженерия убеждает пользователя в пользе руткита.[27] Установка упрощается, если принцип наименьших привилегий не применяется, поскольку руткит не должен явно запрашивать повышенные (уровень администратора) привилегии. Другие классы руткитов может установить только тот, у кого есть физический доступ к целевой системе. Некоторые руткиты также могут быть намеренно установлены владельцем системы или кем-либо, уполномоченным владельцем, например с целью мониторинг сотрудников, делая ненужными такие подрывные методы.[56] Некоторые вредоносные установки руткитов производятся коммерчески, с плата за установку (PPI) метод компенсации, типичный для дистрибуции.[57][58]
После установки руткит принимает активные меры, чтобы скрыть свое присутствие в хост-системе путем подрывной деятельности или обхода стандартной операционной системы. безопасность инструменты и интерфейс прикладного программирования (API), используемые для диагностики, сканирования и мониторинга. Руткиты достигают этого, изменяя поведение основные части операционной системы путем загрузки кода в другие процессы, установки или модификации водители, или же модули ядра. Методы обфускации включают в себя сокрытие запущенных процессов от механизмов мониторинга системы и сокрытие системных файлов и других данных конфигурации.[59] Нередко руткит отключает регистрация событий емкость операционной системы, пытаясь скрыть доказательства атаки. Теоретически руткиты могут подрывать любой операционная система.[60] "Идеальный руткит" можно представить как "совершенное преступление ": то, о чем никто не подозревает, имел место. Руткиты также принимают ряд мер, чтобы гарантировать их выживание от обнаружения и" очистки "антивирусным программным обеспечением в дополнение к обычной установке в кольцо 0 (режим ядра), где они имеют полный доступ к система. К ним относятся полиморфизм (изменение так, что их "подпись" трудно обнаружить), методы скрытности, регенерация, отключение или отключение антивирусного программного обеспечения,[61] и не устанавливается на виртуальные машины где исследователям будет проще их обнаружить и проанализировать.
Обнаружение
Основная проблема с обнаружением руткитов заключается в том, что, если операционная система была взломана, особенно с помощью руткита уровня ядра, нельзя доверять обнаружению несанкционированных модификаций самой себя или ее компонентов.[60] Таким действиям, как запрос списка запущенных процессов или списка файлов в каталоге, нельзя доверять, чтобы они вели себя должным образом. Другими словами, детекторы руткитов, которые работают в зараженных системах, эффективны только против руткитов, которые имеют какой-либо дефект в их маскировке или которые работают с более низкими привилегиями пользовательского режима, чем программное обеспечение обнаружения в ядре.[27] Как и с компьютерные вирусы, обнаружение и устранение руткитов - это постоянная борьба между обеими сторонами этого конфликта.[60] Обнаружение может использовать несколько различных подходов, включая поиск «сигнатур» вирусов (например, антивирусного программного обеспечения), проверку целостности (например, цифровые подписи ), обнаружение на основе различий (сравнение ожидаемых и фактических результатов) и обнаружение поведения (например, мониторинг использования ЦП или сетевого трафика).
Для руткитов режима ядра обнаружение значительно сложнее, требуя тщательного изучения таблицы системных вызовов для поиска подключенные функции где вредоносное ПО может нарушать поведение системы,[62] а также судебно-медицинский сканирование памяти на наличие шаблонов, указывающих на скрытые процессы. Предложения по обнаружению руткитов Unix включают Zeppoo,[63] chkrootkit, Rkhunter и OSSEC. Для Windows средства обнаружения включают Microsoft Sysinternals Руткит Ревалер,[64] Антивирус Avast,[65] Sophos Анти-руткит,[66] F-Secure,[67] Корень,[68] GMER,[69] и WindowsSCOPE. Любые обнаружители руткитов, которые доказали свою эффективность, в конечном итоге способствуют их собственной неэффективности, поскольку авторы вредоносных программ адаптируют и тестируют свой код, чтобы избежать обнаружения хорошо используемыми инструментами.[Примечания 1] Обнаружение путем проверки хранилища, когда подозрительная операционная система не работает, может пропустить руткиты, не распознаваемые программным обеспечением для проверки, поскольку руткит не активен и подозрительное поведение подавляется; обычное антивирусное программное обеспечение, работающее с работающим руткитом, может выйти из строя, если руткит эффективно скрывается.
Альтернативный надежный носитель
Лучший и самый надежный метод обнаружения руткитов на уровне операционной системы - выключить компьютер, подозреваемый в заражении, а затем проверить его место хранения к загрузка с альтернативного надежного носителя (например, "спасательный" CD-ROM или же флешка ).[70] Этот метод эффективен, поскольку руткит не может активно скрыть свое присутствие, если он не запущен.
На основе поведения
Поведенческий подход к обнаружению руткитов пытается сделать вывод о наличии руткита, ища поведение, подобное руткиту. Например, по профилирование системы, различия во времени и частоте вызовов API или в общей загрузке ЦП могут быть отнесены к руткиту. Метод сложен и затруднен из-за высокой частоты ложные срабатывания. Неисправные руткиты могут иногда вносить очень очевидные изменения в систему: Алуреон руткит приводил к сбою систем Windows после того, как обновление безопасности выявило конструктивный недостаток в его коде.[71][72] Журналы из анализатор пакетов, брандмауэр, или же Система предотвращения вторжений может свидетельствовать о поведении руткитов в сетевой среде.[24]
На основе подписи
Антивирусные продукты редко выявляют все вирусы в ходе общедоступных тестов (в зависимости от того, что используется и в какой степени), даже несмотря на то, что поставщики программного обеспечения для обеспечения безопасности включают обнаружение руткитов в свои продукты. Если руткит попытается скрыться во время антивирусной проверки, детектор невидимости может заметить; если руткит пытается временно выгрузить себя из системы, обнаружение сигнатуры (или «снятие отпечатков пальцев») все равно может его найти. Такой комбинированный подход вынуждает злоумышленников применять механизмы контратаки или «ретро» процедуры, которые пытаются завершить работу антивирусных программ. Методы обнаружения на основе сигнатур могут быть эффективны против хорошо опубликованных руткитов, но в меньшей степени против специально созданных руткитов с настраиваемым руткитом.[60]
На основе различий
Другой метод, позволяющий обнаружить руткиты, сравнивает «доверенные» необработанные данные с «испорченным» содержимым, возвращаемым API. Например, двоичные файлы имеющиеся на диске можно сравнить с их копиями в пределах оперативная память (в некоторых операционных системах образ в памяти должен быть идентичен образу на диске) или результаты, возвращенные из файловая система или же Реестр Windows API-интерфейсы можно сравнивать с необработанными структурами на базовых физических дисках.[60][73]- однако в первом случае некоторые допустимые различия могут быть внесены с помощью механизмов операционной системы, таких как перемещение памяти или шимминг. Руткит может обнаружить наличие такого сканера на основе различий или виртуальная машина (последний обычно используется для проведения судебно-медицинской экспертизы) и настраивает его поведение так, чтобы не было никаких различий. Обнаружение на основе различий использовалось Руссинович с Руткит Ревалер инструмент для поиска руткита Sony DRM.[1]
Проверка целостности
Подпись кода использует инфраструктура открытого ключа чтобы проверить, был ли файл изменен с момента его с цифровой подписью его издателем. В качестве альтернативы владелец системы или администратор может использовать криптографическая хеш-функция для вычисления «отпечатка пальца» во время установки, который может помочь обнаружить последующие несанкционированные изменения в библиотеках кода на диске.[74] Однако простейшие схемы проверяют только, был ли код изменен с момента установки; подрывная деятельность до этого времени не обнаруживается. Отпечаток пальца необходимо восстанавливать каждый раз, когда в систему вносятся изменения: например, после установки обновлений безопасности или Service Pack. Хеш-функция создает Дайджест сообщения, относительно короткий код, вычисляемый из каждого бита в файле с использованием алгоритма, который создает большие изменения в дайджесте сообщения с еще меньшими изменениями в исходном файле. Регулярно пересчитывая и сравнивая дайджест сообщений установленных файлов с доверенным списком дайджестов сообщений, можно обнаруживать и отслеживать изменения в системе, если исходный базовый уровень был создан до добавления вредоносного ПО.
Более сложные руткиты могут помешать процессу проверки, представляя неизмененную копию файла для проверки или внося изменения в код только в памяти, регистрах реконфигурации, которые позже сравниваются с белым списком ожидаемых значений.[75] Код, который выполняет операции хеширования, сравнения или расширения, также должен быть защищен - в этом контексте понятие неизменный корень доверия считает, что самый первый код для измерения свойств безопасности системы должен быть доверенным, чтобы гарантировать, что руткит или буткит не скомпрометируют систему на самом фундаментальном уровне.[76]
Дампы памяти
Принудительный полный сброс виртуальная память захватит активный руткит (или дамп ядра в случае руткита режима ядра), что позволяет судебно-медицинский анализ будет выполняться с отладчик против результирующего файл дампа, при этом руткит не сможет предпринять какие-либо меры для маскировки. Этот метод является узкоспециализированным и может потребовать доступа к закрытым исходный код или же символы отладки. Дамп памяти, инициированный операционной системой, не всегда может использоваться для обнаружения руткита на основе гипервизора, который способен перехватывать и подавлять попытки чтения памяти самого низкого уровня.[5]- аппаратное устройство, например, реализующее немаскируемое прерывание, в этом случае может потребоваться сбросить память.[77][78] Виртуальные машины также упрощают анализ памяти скомпрометированной машины с помощью нижележащего гипервизора, поэтому некоторые руткиты могут избежать заражения виртуальных машин по этой причине.
Удаление
Ручное удаление руткита часто бывает чрезвычайно трудным для обычного пользователя компьютера.[25] но ряд поставщиков программного обеспечения безопасности предлагают инструменты для автоматического обнаружения и удаления некоторых руткитов, обычно как часть антивирусный пакет. По состоянию на 2005 г.[Обновить], Ежемесячный Средство удаления вредоносных программ для Windows может обнаруживать и удалять некоторые классы руткитов.[79][80] Кроме того, автономный Защитник Windows может удалять руткиты, поскольку он запускается из доверенной среды до запуска операционной системы. Некоторые антивирусные сканеры могут обойти файловая система API, уязвимые для манипуляций со стороны руткита. Вместо этого они напрямую обращаются к необработанным структурам файловой системы и используют эту информацию для проверки результатов системных API для выявления любых различий, которые могут быть вызваны руткитом.[Примечания 2][81][82][83][84] Есть эксперты, которые считают, что единственный надежный способ их удалить - это переустановить операционную систему с доверенного носителя.[85][86] Это связано с тем, что инструменты удаления вирусов и вредоносных программ, запущенные в ненадежной системе, могут быть неэффективными против хорошо написанных руткитов режима ядра. Загрузка альтернативной операционной системы с доверенного носителя может позволить смонтировать зараженный системный том и потенциально безопасно очистить его и скопировать важные данные или, в качестве альтернативы, провести судебно-медицинскую экспертизу.[24] Легкие операционные системы, такие как Windows PE, Консоль восстановления Windows, Среда восстановления Windows, BartPE, или же Живые дистрибутивы могут использоваться для этой цели, позволяя «очистить» систему. Даже если тип и природа руткита известны, ручное восстановление может оказаться непрактичным, в то время как повторная установка операционной системы и приложений безопаснее, проще и быстрее.[85]
Защиты
Система закалка представляет собой один из первых уровней защиты от руткита, предотвращающий его установку.[87] Применение исправлений безопасности, реализация принцип наименьших привилегий, уменьшая поверхность атаки и установка антивирусного программного обеспечения - вот некоторые стандартные рекомендации по обеспечению безопасности, которые эффективны против всех классов вредоносных программ.[88] Новые спецификации безопасной загрузки, такие как Унифицированный расширяемый интерфейс встроенных микропрограмм были разработаны для устранения угрозы буткитов, но даже они уязвимы, если не используются предлагаемые ими функции безопасности.[49] Для серверных систем удаленная аттестация серверов с использованием таких технологий, как Intel Надежная технология выполнения (TXT) обеспечивают способ проверки того, что серверы остаются в заведомо исправном состоянии. Например, Microsoft Bitlocker шифрование данных в состоянии покоя проверяет, находятся ли серверы в заведомо "хорошем состоянии" при загрузке. PrivateCore vCage - это программное обеспечение, которое защищает используемые данные (память), чтобы избежать буткитов и руткитов, путем проверки того, что серверы находятся в заведомо «хорошем» состоянии при загрузке. Реализация PrivateCore работает совместно с Intel TXT и блокирует интерфейсы серверной системы, чтобы избежать потенциальных буткитов и руткитов.
Смотрите также
- Конференция по компьютерной безопасности
- Система обнаружения вторжений на основе хоста
- Атака посредника
- Арсенал руткитов: побег и уклонение в темных углах системы
Примечания
- ^ Имя процесса Sysinternals RootkitRevealer было целью вредоносного ПО; в попытке противостоять этой контрмере инструмент теперь использует случайно сгенерированное имя процесса.
- ^ Теоретически достаточно сложный руткит на уровне ядра мог бы подорвать операции чтения необработанных структур данных файловой системы, чтобы они соответствовали результатам, возвращаемым API.
Рекомендации
- ^ а б c d е ж грамм час «Руткиты, часть 1 из 3: растущая угроза» (PDF). McAfee. 2006-04-17. Архивировано из оригинал (PDF) 23 августа 2006 г.
- ^ «Удаление руткитов из системы Windows». 2011-10-25.
- ^ а б c d «Обзор руткитов Windows» (PDF). Symantec. 2006-03-26. Получено 2010-08-17. Цитировать журнал требует
| журнал =
(помощь) - ^ Спаркс, Шерри; Батлер, Джейми (2005-08-01). «Повышение планки обнаружения руткитов Windows». Phrack. 0xb (x3d).
- ^ а б c d е Майерс, Майкл; Юндт, Стивен (2007-08-07). «Введение в руткиты виртуальных машин с аппаратной поддержкой (HVM)». Важнейшая безопасность. CiteSeerX: 10.1.1.90.8832. Цитировать журнал требует
| журнал =
(помощь) - ^ Эндрю Хэй; Дэниел Сид; Рори Брэй (2008). OSSEC Руководство по обнаружению вторжений на основе хоста. Syngress. п. 276. ISBN 978-1-59749-240-9.
- ^ Томпсон, Кен (август 1984). «Размышления о доверии» (PDF). Коммуникации ACM. 27 (8): 761. Дои:10.1145/358198.358210.
- ^ а б Грег Хоглунд; Джеймс Батлер (2006). Руткиты: подрыв ядра Windows. Эддисон-Уэсли. п. 4. ISBN 978-0-321-29431-9.
- ^ Дай Зови, Дино (26.07.2009). Продвинутые руткиты Mac OS X (PDF). Черная шляпа. Системы эндшпиля. Получено 2010-11-23.
- ^ «Stuxnet представляет первый известный руткит для промышленных систем управления». Symantec. 2010-08-06. Получено 2010-12-04.
- ^ "Сведения о шпионском ПО: XCP.Sony.Rootkit". Computer Associates. 2005-11-05. Архивировано из оригинал на 2010-08-18. Получено 2010-08-19.
- ^ Руссинович Марк (2005-10-31). "Sony, руткиты и управление цифровыми правами зашли слишком далеко". Блоги TechNet. Microsoft. Получено 2010-08-16.
- ^ "Долгосрочные проблемы Sony с руткит-компакт-дисками". Новости BBC. 2005-11-21. Получено 2008-09-15.
- ^ Фелтон, Эд (2005-11-15). «Веб-деинсталлятор Sony открывает большую дыру в безопасности; Sony отозвала диски».
- ^ Найт, Уилл (11 ноября 2005 г.). "Sony BMG подала в суд за маскировку программного обеспечения на музыкальном компакт-диске". Новый ученый. Получено 2010-11-21.
- ^ Кириакиду, Дина (2 марта 2006 г.). ""Греческий Уотергейт "Скандал вызывает политический шок". Рейтер. Получено 2007-11-24.[мертвая ссылка ]
- ^ а б Василис Превелакис; Диомидис Спинеллис (июль 2007 г.). "Афинский роман".
- ^ Руссинович Марк (Июнь 2005 г.). "Отрывающиеся корневые наборы". Windows для ИТ-специалистов. Архивировано из оригинал на 2012-09-18. Получено 2010-12-16.
- ^ «Хакеры World of Warcraft, использующие руткит Sony BMG». Реестр. 2005-11-04. Получено 2010-08-23.
- ^ Стив Ханна (сентябрь 2007 г.). «Использование технологии руткитов для обнаружения вредоносных программ на основе Honeypot» (PDF). Встреча CCEID. Цитировать журнал требует
| журнал =
(помощь) - ^ Руссинович Марк (6 февраля 2006 г.). «Использование руткитов для защиты от управления цифровыми правами». Зима. SysInternals. Архивировано из оригинал 14 августа 2006 г.. Получено 2006-08-13.
- ^ а б Ортега, Альфредо; Сакко, Анибал (24.07.2009). Деактивировать руткит: атаки на противоугонные технологии BIOS (PDF). Черная шляпа США 2009 (PDF). Бостон, Массачусетс: Основные технологии безопасности. Получено 2014-06-12.
- ^ Кляйсснер, Питер (2009-09-02). "Stoned Bootkit: Рост популярности руткитов и буткитов MBR в дикой природе" (PDF). Архивировано из оригинал (PDF) на 2011-07-16. Получено 2010-11-23. Цитировать журнал требует
| журнал =
(помощь) - ^ а б c Энсон, Стив; Бантинг, Стив (2007). Освоение Windows Network Forensics and Investigation. Джон Уайли и сыновья. С. 73–74. ISBN 978-0-470-09762-5.
- ^ а б c d «Руткиты. Часть 2: Технический учебник» (PDF). McAfee. 2007-04-03. Архивировано из оригинал (PDF) на 2008-12-05. Получено 2010-08-17.
- ^ Kdm. "NTIllusion: портативный руткит Win32". Phrack. 62 (12).
- ^ а б c d «Понимание технологий защиты от вредоносного ПО» (PDF). Microsoft. 21 февраля 2007 г. Архивировано из оригинал (PDF) на 2010-09-11. Получено 2010-08-17.
- ^ Хоглунд, Грег (1999-09-09). "A * REAL * NT Rootkit, исправление ядра NT". Phrack. 9 (55). Получено 2010-11-21.
- ^ Шевченко, Алиса (01.09.2008). «Руткит Эволюция». Помощь Net Security. Справка Net Security.
- ^ Чувакин Антон (2003-02-02). Обзор руткитов Unix (PDF) (Отчет). Шантильи, Вирджиния: iDEFENSE. Архивировано из оригинал (PDF) на 2011-07-25. Получено 2010-11-21.
- ^ Батлер, Джеймс; Спаркс, Шерри (2005-11-16). «Руткиты Windows 2005 года, часть вторая». Symantec Connect. Symantec. Получено 2010-11-13.
- ^ Батлер, Джеймс; Спаркс, Шерри (2005-11-03). «Руткиты Windows 2005 года, часть первая». Symantec Connect. Symantec. Получено 2010-11-12.
- ^ Бурдах, Мариуш (17 ноября 2004 г.). «Обнаружение руткитов и взломов на уровне ядра в Linux». Symantec. Получено 2010-11-23.
- ^ Марко Джулиани (11 апреля 2011 г.). «ZeroAccess - расширенный руткит режима ядра» (PDF). Программное обеспечение Webroot. Получено 10 августа 2011. Цитировать журнал требует
| журнал =
(помощь) - ^ «Требования к подписи драйверов для Windows». Microsoft. Получено 2008-07-06.
- ^ Шнайер, Брюс (2009-10-23). "'Атаки Evil Maid на зашифрованные жесткие диски ». Получено 2009-11-07.
- ^ Содер, Дерек; Пермех, Райан (2007-05-09). "Загрузочный". eEye Digital Security. Архивировано из оригинал на 2013-08-17. Получено 2010-11-23.
- ^ Кумар, Нитин; Кумар, Випин (2007). Vbootkit: нарушение безопасности Windows Vista (PDF). Черная шляпа Европы 2007.
- ^ "ЗАГРУЗОЧНЫЙ КОМПЛЕКТ: Пользовательский загрузочный сектор на основе Windows 2000 / XP / 2003 Subversion". NVlabs. 2007-02-04. Архивировано из оригинал 10 июня 2010 г.. Получено 2010-11-21.
- ^ Кляйсснер, Питер (2009-10-19). "Stoned Bootkit". Питер Кляйсснер. Получено 2009-11-07.[самостоятельно опубликованный источник ]
- ^ Гудин, Дэн (16 ноября 2010 г.). «Самый продвинутый руткит в мире проникает в 64-битную Windows». Реестр. Получено 2010-11-22.
- ^ Питер Кляйсснер, «Рост популярности руткитов и буткитов MBR в дикой природе», Взлом наугад (2009) - текст В архиве 2011-07-16 на Wayback Machine; слайды В архиве 2014-01-06 в Wayback Machine
- ^ Загрузчик Windows - программный информер. Это приложение-загрузчик, которым пользуются миллионы людей во всем мире.
- ^ Microsoft усиливает контроль за OEM-лицензированием Windows 8
- ^ King, Samuel T .; Чен, Питер М .; Ван, И-Минь; Вербовски, Чад; Ван, Хелен Дж .; Лорч, Джейкоб Р. (2006-04-03). Международные Бизнес Машины (ред.). SubVirt: внедрение вредоносного ПО с виртуальными машинами (PDF). Симпозиум IEEE 2006 г. по безопасности и конфиденциальности. Институт инженеров по электротехнике и электронике. Дои:10.1109 / SP.2006.38. ISBN 0-7695-2574-1. Получено 2008-09-15.
- ^ Ван, Чжи; Цзян, Сюйсянь; Цуй, Вэйдун; Нин, Пэн (11 августа 2009 г.). «Противодействие руткитам ядра с помощью легкой защиты от хуков» (PDF). В Аль-Шаер, Эхаб (Главный председатель) (ред.). Материалы 16-й конференции ACM по компьютерной и коммуникационной безопасности. CCS 2009: 16-я конференция ACM по компьютерной и коммуникационной безопасности. Джа, Сомеш; Керомитис, Ангелос Д. (Руководители программы). Нью-Йорк: ACM Нью-Йорк. Дои:10.1145/1653662.1653728. ISBN 978-1-60558-894-0. Получено 2009-11-11.
- ^ «Device Guard - это сочетание контроля приложений в Защитнике Windows и защиты целостности кода на основе виртуализации (Windows 10)».
- ^ Делугре, Гийом (21 ноября 2010 г.). Восстановление прошивки Broacom NetExtreme (PDF). hack.lu. Согети. Архивировано из оригинал (PDF) на 2012-04-25. Получено 2010-11-25.
- ^ а б «Команда хакеров использует руткит UEFI BIOS для сохранения агента RCS 9 в целевых системах - блог TrendLabs Security Intelligence». 2015-07-13.
- ^ Хисман, Джон (25 января 2006 г.). Внедрение и обнаружение руткита ACPI BIOS (PDF). Black Hat Federal 2006. NGS Consulting. Получено 2010-11-21.
- ^ Хисман, Джон (15 ноября 2006 г.). «Внедрение и обнаружение руткита PCI» (PDF). Программное обеспечение безопасности нового поколения. CiteSeerX: 10.1.1.89.7305. Получено 2010-11-13. Цитировать журнал требует
| журнал =
(помощь) - ^ Модин, Остин (2008-10-10). «Организованная преступность взламывает европейские устройства для считывания карт: данные клиентов передаются за границу». Реестр. Публикация ситуации. Получено 2008-10-13.
- ^ Сакко, Анибал; Ортега, Альфредо (2009). Постоянное заражение BIOS (PDF). CanSecWest 2009. Основные технологии безопасности. Получено 2010-11-21.
- ^ Гудин, Дэн (24 марта 2009 г.). «Новомодные руткиты выдерживают очистку жесткого диска». Реестр. Публикация ситуации. Получено 2009-03-25.
- ^ Сакко, Анибал; Ортега, Альфредо (01.06.2009). «Постоянное заражение BIOS: ранние пташки ловят червя». Phrack. 66 (7). Получено 2010-11-13.
- ^ Рик Вилер (2007). Профессиональные руткиты. Джон Вили и сыновья. п. 244. ISBN 9780470149546.
- ^ Матросов Александр; Родионов, Евгений (25.06.2010). "TDL3: Руткит всего зла?" (PDF). Москва: ESET. п. 3. Архивировано из оригинал (PDF) на 2011-05-13. Получено 2010-08-17.
- ^ Матросов Александр; Родионов, Евгений (27.06.2011). «Эволюция TDL: покорение x64» (PDF). ESET. Архивировано из оригинал (PDF) в 2015-07-29. Получено 2011-08-08.
- ^ Брамли, Дэвид (1999-11-16). «Невидимые злоумышленники: руткиты на практике». USENIX. USENIX.
- ^ а б c d е Дэвис, Майкл А .; Бодмер, Шон; ЛеМастерс, Аарон (3 сентября 2009 г.). «Глава 10: Обнаружение руткитов» (PDF). Взлом открытых вредоносных программ и руткитов: секреты безопасности и решения для вредоносных программ и руткитов. Нью-Йорк: McGraw Hill Professional. ISBN 978-0-07-159118-8.
- ^ Трлоком (05.07.2006). «Победа над руткитами и кейлоггерами» (PDF). Трлоком. Архивировано из оригинал (PDF) на 2011-07-17. Получено 2010-08-17. Цитировать журнал требует
| журнал =
(помощь) - ^ Дай Зови, Дино (2011). «Руткиты ядра». Архивировано из оригинал 10 сентября 2012 г.. Получено 13 сен 2012. Цитировать журнал требует
| журнал =
(помощь) - ^ "Зеппу". SourceForge. 18 июля 2009 г.. Получено 8 августа 2011.
- ^ Когсуэлл, Брайс; Руссинович, Марк (01.11.2006). "RootkitRevealer v1.71". Microsoft. Получено 2010-11-13.
- ^ «Руткит и Антируткит». Получено 13 сентября 2017.
- ^ "Sophos Anti-Rootkit". Sophos. Получено 8 августа 2011.
- ^ "Черный свет". F-Secure. Получено 8 августа 2011.
- ^ "Radix Anti-Rootkit". usec.at. Получено 8 августа 2011.
- ^ "GMER". Получено 8 августа 2011.
- ^ Гарриман, Джош (2007-10-19). «Методология тестирования эффективности удаления руткитов» (PDF). Дублин, Ирландия: Symantec Security Response. Получено 2010-08-17. Цитировать журнал требует
| журнал =
(помощь) - ^ Куйботариу, Мирча (12 февраля 2010 г.). «Тидсерв и МС10-015». Symantec. Получено 2010-08-19.
- ^ «Проблемы с перезапуском после установки MS10-015». Microsoft. 2010-02-11. Получено 2010-10-05.
- ^ "Обнаружение руткитов Strider GhostBuster". Microsoft Research. 2010-01-28. Архивировано из оригинал в 2012-07-29. Получено 2010-08-14.
- ^ «Подписание и проверка кода с помощью Authenticode». Microsoft. Получено 2008-09-15.
- ^ «Остановка руткитов на границе сети» (PDF). Бивертон, Орегон: Группа доверенных вычислений. Январь 2017 г.. Получено 2008-07-11.
- ^ "Спецификация реализации TCG для ПК, версия 1.1" (PDF). Группа доверенных вычислений. 2003-08-18. Получено 2010-11-22.
- ^ «Как создать полный файл аварийного дампа или файл аварийного дампа ядра с помощью NMI в системе на базе Windows». Microsoft. Получено 2010-11-13.
- ^ Сешадри, Арвинд; и другие. (2005). «Пионер: проверка целостности кода и обеспечение беспрепятственного выполнения кода в устаревших системах». Университет Карнеги Меллон. Цитировать журнал требует
| журнал =
(помощь) - ^ Диллард, Курт (2005-08-03). «Битва руткитов: обнаружитель руткитов против защитника хакеров».
- ^ «Средство удаления вредоносных программ для Microsoft Windows помогает удалять определенные распространенные вредоносные программы с компьютеров под управлением Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 или Windows XP». Microsoft. 2010-09-14.
- ^ Халтквист, Стив (30 апреля 2007 г.). «Руткиты: следующая большая корпоративная угроза?». InfoWorld. Получено 2010-11-21.
- ^ «На страже безопасности: руткиты для развлечения и прибыли». CNET Обзоры. 2007 января 19. Архивировано из оригинал на 2012-10-08. Получено 2009-04-07.
- ^ Борт, Джули (2007-09-29). «Шесть способов борьбы с ботнетами». PCWorld. Сан-Франциско: PCWorld Communications. Получено 2009-04-07.
- ^ Хоанг, Мими (2006-11-02). «Устранение серьезных угроз безопасности сегодня: руткиты». Symantec Connect. Symantec. Получено 2010-11-21.
- ^ а б Данселио, Майк; Бейли, Тони (2005-10-06). «Руткиты: неизвестная хакерская атака». Microsoft.
- ^ Мессмер, Эллен (26 августа 2006 г.). «Эксперты разделились по поводу обнаружения и удаления руткитов». NetworkWorld.com. Фрамингем, Массачусетс: IDG. Получено 2010-08-15.
- ^ Скудис, Эд; Зельцер, Ленни (2004). Вредоносное ПО: борьба с вредоносным кодом. Prentice Hall PTR. п. 335. ISBN 978-0-13-101405-3.
- ^ Ханнел, Джеромей (2003-01-23). «Linux RootKits для начинающих - от предотвращения до удаления». Институт SANS. Архивировано из оригинал (PDF) 24 октября 2010 г.. Получено 2010-11-22.
дальнейшее чтение
- Бланден, Билл (2009). Арсенал руткитов: побег и уклонение в темных углах системы. Wordware. ISBN 978-1-59822-061-2.
- Хоглунд, Грег; Батлер, Джеймс (2005). Руткиты: подрыв ядра Windows. Эддисон-Уэсли Профессионал. ISBN 978-0-321-29431-9.
- Grampp, F.T .; Моррис, Роберт Х., старший (октябрь 1984 г.). «Система UNIX: Безопасность операционной системы UNIX». Технический журнал AT&T Bell Laboratories. 62 (8): 1649–1672. Дои:10.1002 / j.1538-7305.1984.tb00058.x.
- Конг, Джозеф (2007). Разработка руткитов BSD. Пресс без крахмала. ISBN 978-1-59327-142-8.
- Вейлер, Рик (2007). Профессиональные руткиты. Wrox. ISBN 978-0-470-10154-4.
внешняя ссылка
- СМИ, связанные с Руткиты в Wikimedia Commons