Rootkit là gì? Có những loại rootkit nào? 17/03/2025

1. Link tải xuống trực tiếp

LINK TẢI GG DRIVE: LINK TẢI 1

LINK TẢI GG DRIVE: LINK TẢI 2

LINK TẢI GG DRIVE: LINK DỰ PHÒNG

Bạn đã nghe nói về rootkit ở đâu chưa? Bạn không thực sự hiểu rootkit là gì? Rootkit có phải là sâu, vi rút hay trojan không? Rootkit có thực sự nguy hiểm không? … Trong bài viết này, chúng tôi sẽ trả lời các câu hỏi của bạn đọc về rootkit và giới thiệu với bạn phần mềm miễn phí cho phép bạn “nhanh chóng hạ gục và tiêu diệt” rootkit. .

Rootkit là gì?

Rootkit là một chương trình máy tính bí mật cho phép truy cập đặc quyền liên tục vào máy tính và đồng thời chủ động che giấu sự hiện diện của nó.

điều kiện Rootkit là sự kết hợp của hai từ “Nguồn gốc” và “Bộ dụng cụ”. Ban đầu, rootkit là một bộ công cụ cung cấp quyền truy cập cấp quản trị viên vào máy tính hoặc mạng. nguồn gốc Đề cập đến tài khoản quản trị viên trên hệ thống Unix / Linux và Bộ dụng cụ Đề cập đến các thành phần phần mềm cung cấp công cụ. Ngày nay, rootkit thường gắn liền với phần mềm độc hại – chẳng hạn như Trojan, worm, virus – che giấu sự tồn tại và hành động của chúng với người dùng cũng như các quy trình hệ thống khác.

Thuật ngữ rootkit là sự kết hợp của hai từ "nguồn gốc" và "Bộ dụng cụ" — Thuật ngữ rootkit là sự kết hợp của các từ “root” và “kit”.

Rootkit có thể làm gì?

Với rootkit, ai đó có thể quản lý các lệnh và điều khiển máy tính mà người dùng / chủ sở hữu máy tính không biết. Khi rootkit được cài đặt, bộ điều khiển rootkit có thể thực thi các tệp từ xa và thực hiện các thay đổi đối với cấu hình hệ thống trên máy chủ. Bộ rootkit trên máy tính bị nhiễm cũng có thể truy cập các tệp nhật ký và theo dõi việc sử dụng hợp pháp của chủ sở hữu máy tính.

Các loại rootkit

Có một số loại rootkit thường lây nhiễm, hoạt động hoặc hiện diện trên hệ thống đích.

Rootkit trong chế độ hạt nhân được thiết kế để thay đổi chức năng của hệ điều hành. Loại rootkit này thường thêm mã riêng của nó – và đôi khi là cấu trúc dữ liệu – vào các phần của hạt nhân. Nhiều rootkit ở chế độ hạt nhân tận dụng lợi thế của thực tế là hệ điều hành cho phép trình điều khiển thiết bị hoặc mô-đun có thể tải chạy với các đặc quyền hệ thống giống như hạt nhân, do đó rootkit được đóng gói dưới dạng trình điều khiển hoặc mô-đun. Mô-đun để tránh bị phát hiện bởi phần mềm chống vi-rút.
Rootkit chế độ người dùngBộ gốc ứng dụng, đôi khi được gọi là bộ gốc ứng dụng, chạy giống như một tác nhân người dùng thông thường. Các rootkit ở chế độ người dùng có thể được khởi tạo giống như các chương trình bình thường trong quá trình khởi động hệ thống hoặc được đưa vào hệ thống bằng ống nhỏ giọt (một chương trình được sử dụng để cài đặt một số loại virus nhất định vào hệ thống). Hệ thống muốn lây nhiễm). Phương pháp phụ thuộc vào hệ điều hành. Ví dụ, một bộ rootkit Windows thường tập trung vào việc kiểm soát các chức năng cơ bản của các tệp DLL trong Windows. Tuy nhiên, trong hệ thống Unix, toàn bộ ứng dụng có thể được thay thế hoàn toàn bằng rootkit.
Bộ khởi độnghoặc bộ nạp khởi động rootkit lây nhiễm bản ghi khởi động chính của ổ cứng hoặc thiết bị lưu trữ khác được kết nối với hệ thống đích. Bộ khởi động có thể can thiệp vào quá trình khởi động và giữ quyền kiểm soát hệ thống sau khi khởi động. Do đó, nó đã được sử dụng thành công để tấn công các hệ thống sử dụng mã hóa toàn bộ ổ đĩa.
Rootkit phần mềm cơ sở sử dụng phần mềm được nhúng trong chương trình cơ sở hệ thống và tự cài đặt trong hình ảnh chương trình cơ sở được sử dụng bởi card mạng, BIOS, bộ định tuyến hoặc các thiết bị ngoại vi khác.
Hầu hết các loại lây nhiễm rootkit có thể tồn tại trong hệ thống trong một thời gian dài do chúng tự cài đặt trên các thiết bị lưu trữ hệ thống vĩnh viễn Rootkit lưu trữ nạp thủ công vào bộ nhớ máy tính (RAM). Bộ nhớ gốc chỉ có sẵn cho đến khi bộ nhớ RAM hệ thống bị xóa, thường là sau khi khởi động lại máy tính.

Làm cách nào để nhận ra rootkit?

Rất khó để phát hiện rootkit. Không có sản phẩm thương mại nào có thể tìm và loại bỏ tất cả các rootkit đã biết và chưa biết. Có một số cách để tìm rootkit trên máy tính bị nhiễm. Các phương pháp phát hiện bao gồm các phương pháp dựa trên hành vi (chẳng hạn như tìm kiếm hành vi lạ trên hệ thống máy tính), quét chữ ký và phân tích kết xuất. Thông thường, lựa chọn duy nhất để loại bỏ rootkit là xây dựng lại hoàn toàn hệ thống bị xâm phạm.

Bảo vệ hệ thống chống lại rootkit

Nhiều rootkit xâm nhập vào hệ thống máy tính bằng cách bám vào phần mềm hoặc vi rút đáng tin cậy. Bạn có thể bảo vệ hệ thống của mình khỏi rootkit bằng cách đảm bảo rằng nó được vá các lỗ hổng bảo mật đã biết, bao gồm các bản vá hệ điều hành, ứng dụng và bản cập nhật định nghĩa vi-rút. Không chấp nhận tệp hoặc mở tệp đính kèm email từ các nguồn không xác định. Hãy thận trọng khi cài đặt phần mềm và đọc kỹ các thỏa thuận cấp phép người dùng cuối.

Phân tích tĩnh có thể phát hiện các cửa sau và các bổ sung có hại khác như rootkit. Các nhà phát triển doanh nghiệp và bộ phận CNTT cần mua phần mềm có thể quét các ứng dụng để tìm các mối đe dọa, bao gồm cửa sau “đặc biệt” và “thông tin ẩn”.

Để loại bỏ rootkit, hãy đọc bài viết: Công cụ Anti-Rootkit Cần thêm thông tin và nên có với hệ thống.