Tipos de rootkits

Escrito por chris loza | Traduzido por josé fabián
  • Compartilhar
  • Tweetar
  • Compartilhar
  • Pin
  • E-mail
Tipos de rootkits
Os rootkits podem ser difíceis de detectar, conheça os diferentes tipos (Stockbyte/Stockbyte/Getty Images)

Um rootkit é um software suspeito, não porque ataca ou provoca danos a um computador, e sim porque penetra na parte mais profunda do sistema operacional, fazendo com que seja difícil detectá-lo. Ele se esconde nas pastas do sistema e altera as configurações do registro ligeiramente, para parecer um arquivo legítimo. Não faz muito mais do que se esconder e esperar um comando externo de um usuário ou programa para ativá-lo. Atualmente há quatro tipos conhecidos de rootkits.

Outras pessoas estão lendo

Rootkits persistentes

Os rootkits persistentes se ativam na inicialização do computador. Normalmente se escondem no registro de inicialização, que é carregado pelo Windows ao ligar o computador. É difícil de detectar porque imita ações de arquivos válidos do computador e se executa sem intervenção do usuário. Os vírus e outros softwares maliciosos podem fazer uso deles porque, além de serem difíceis de se encontrar, não se desativam ao desligar o computador.

Rootkits baseados em memória

Ao contrário dos rootkits persistentes, um baseado em memória é desativado quando o computador é reiniciado. Os rootkits se escondem na RAM (memória de acesso aleatório), isso é, o espaço temporário que os programas como o Microsoft Word, o Excel, o Outlook e os navegadores da web ocupam quando estão abertos. Quando você abre um programa, o computador reserva espaço na RAM. Quando o programa finaliza, esse espaço é liberado para ser usado por outros programas. O rootkit baseado em memória faz a mesma coisa. Ocupa um espaço de endereços na RAM. Quando um computador é desligado, todos os programas são fechados e a memória é limpada, incluindo o rootkit.

Rootkits em modo usuário

Um rootkit em modo usuário penetra ainda mais fundo no sistema operacional. Ele se armazena em pastas de sistema ocultas e no registro, e realiza tarefas feitas por arquivos de sistema válidos. Como uma forma de evadir a detecção, ele intercepta o software que poderia encontrá-lo. O rootkit em modo usuário pode incorporar-se a um buscador de vírus, e interceptar a análise, como se fosse ele quem a faz. Em vez de o programa informar uma detecção, o rootkit informa que não há nada.

Rootkits em modo kernel

Um rootkit em modo kernel é ainda mais perigoso que o modo usuário. O rootkit em modo usuário intercepta software válido para devolver um resultado diferente, mas ainda executa processos que podem ser detectados. Um rootkit em modo kernel se esconde removendo os processos associados com ele. Isto faz com que a detecção seja mais difícil, pois é como se o rootkit não existisse. Não se mostrará no gerenciador de tarefas ou em outro software que mostre os processos em execução no computador. Para detectá-lo, é necessária uma técnica complexa para buscar discrepâncias no registro do sistema.

Não perca

Filtro:
  • Geral
  • Artigos
  • Slides
  • Vídeos
Mostrar:
  • Mais relevantes
  • Mais lidos
  • Mais recentes

Nenhum artigo disponível

Nenhum slide disponível

Nenhum vídeo disponível