रूटकिट: Difference between revisions
From Vigyanwiki
(→इतिहास) |
No edit summary |
||
| Line 93: | Line 93: | ||
| access-date=2008-09-15 | | access-date=2008-09-15 | ||
| work=[[BBC News]] | | work=[[BBC News]] | ||
}}</ref> सोनी बीएमजी ने रूटकिट को [[अनइंस्टॉलर]] करने के लिए [[पैच (कंप्यूटिंग)|पैच]] | }}</ref> सोनी बीएमजी ने रूटकिट को [[अनइंस्टॉलर]] करने के लिए [[पैच (कंप्यूटिंग)|पैच]] जारी किया, परंतु इसने उपयोगकर्ताओं को और भी गंभीर भेद्यता के लिए उजागर किया।<ref name=felton>{{cite web | ||
| url=https://freedom-to-tinker.com/blog/felten/sonys-web-based-uninstaller-opens-big-security-hole-sony-recall-discs/ | | url=https://freedom-to-tinker.com/blog/felten/sonys-web-based-uninstaller-opens-big-security-hole-sony-recall-discs/ | ||
| title=सोनी का वेब-आधारित अनइंस्टालर एक बड़ा सुरक्षा छेद खोलता है; सोनी टू रिकॉल डिस्क| date=2005-11-15 | | title=सोनी का वेब-आधारित अनइंस्टालर एक बड़ा सुरक्षा छेद खोलता है; सोनी टू रिकॉल डिस्क| date=2005-11-15 | ||
| first=Ed | | first=Ed | ||
| last=Felton | | last=Felton | ||
}}</ref> कंपनी ने अंततः सीडी को वापस बुला लिया। संयुक्त राज्य अमेरिका में, सोनी बीएमजी के खिलाफ एक [[वर्ग कार्रवाई | }}</ref> कंपनी ने अंततः सीडी को वापस बुला लिया। संयुक्त राज्य अमेरिका में, सोनी बीएमजी के खिलाफ एक [[वर्ग कार्रवाई|क्लास-एक्शन]] मुकदमा लगाया था।<ref>{{cite journal | ||
| url = https://www.newscientist.com/article/dn8307 | | url = https://www.newscientist.com/article/dn8307 | ||
| title = सोनी बीएमजी ने म्यूजिक सीडी पर क्लोकिंग सॉफ्टवेयर पर मुकदमा दायर किया| last = Knight | | title = सोनी बीएमजी ने म्यूजिक सीडी पर क्लोकिंग सॉफ्टवेयर पर मुकदमा दायर किया| last = Knight | ||
| Line 212: | Line 212: | ||
=== उपयोगकर्ता मोड === | === उपयोगकर्ता मोड === | ||
[[File:CPU ring scheme.svg|thumb|right|कंप्यूटर सुरक्षा [[रिंग (कंप्यूटर सुरक्षा)]] (ध्यान दें कि हाइपरविजर|रिंग -1 नहीं दिखाया गया है)]]उपयोक्ता-मोड रूटकिट रिंग | [[File:CPU ring scheme.svg|thumb|right|कंप्यूटर सुरक्षा [[रिंग (कंप्यूटर सुरक्षा)]] (ध्यान दें कि हाइपरविजर|रिंग -1 नहीं दिखाया गया है)]]उपयोक्ता-मोड रूटकिट रिंग में चलते हैं, अन्य अनुप्रयोगों के साथ-साथ निम्न-स्तरीय सिस्टम प्रक्रियाओं के अतिरिक्त उपयोगकर्ता के रूप में अन्य अनुप्रयोगों के साथ, रिंग 3 में चलते हैं।<ref name="McAfee2"/>एप्लिकेशन प्रोग्रामिंग इंटरफेस (एपीआई) के मानक व्यवहार को रोकने और संशोधित करने के लिए उनके पास कई संभावित इंस्टॉलेशन वैक्टर हैं। कुछ अन्य प्रक्रियाओं में [[गतिशील लिंकर]] लाइब्रेरी (जैसे विंडोज़ पर डायनेमिक-लिंक लाइब्रेरी .DLL फ़ाइल, या macOS पर .dylib फ़ाइल ) इंजेक्ट करते हैं, और इस प्रकार किसी भी लक्षित प्रक्रिया के अंदर इसे धोखा देने के लिए निष्पादित करने में सक्षम हैं; अन्य पर्याप्त विशेषाधिकारों के साथ लक्ष्य अनुप्रयोग की स्मृति को अधिलेखित कर देते हैं इनमें इंजेक्शन तंत्र में सम्मलित हैं:<ref name="McAfee2"/> | ||
विक्रेता द्वारा आपूर्ति किए गए एप्लिकेशन एक्सटेंशन का उपयोग। उदाहरण के लिए, [[विंडोज़ एक्सप्लोरर]] में सार्वजनिक इंटरफेस हैं जो तीसरे पक्ष को इसकी कार्यक्षमता बढ़ाने की अनुमति देते हैं। | |||
* संदेश पारित करने का अवरोधन। | * संदेश पारित करने का अवरोधन। | ||
* डिबगर्स। | * डिबगर्स। | ||
* भेद्यता का शोषण (कंप्यूटिंग)। | * भेद्यता का शोषण (कंप्यूटिंग)। | ||
* सामान्यतः उपयोग किए जाने वाले एपीआई के फंक्शन हुकिंग या पैचिंग, उदाहरण के लिए, एक फाइल सिस्टम पर चलने वाली प्रक्रिया या फाइल को छिपाने के लिए।<ref>{{cite journal | * {{quote|text=...since user mode applications all run in their own memory space, the rootkit needs to perform this patching in the memory space of every running application. In addition, the rootkit needs to monitor the system for any new applications that execute and patch those programs' memory space before they fully execute.|sign=Windows Rootkit Overview|source=Symantec<ref name="Symantec"/>}}सामान्यतः उपयोग किए जाने वाले एपीआई के फंक्शन हुकिंग या पैचिंग, उदाहरण के लिए, एक फाइल सिस्टम पर चलने वाली प्रक्रिया या फाइल को छिपाने के लिए।<ref>{{cite journal | ||
| journal=[[Phrack]] | | journal=[[Phrack]] | ||
| url=http://www.phrack.org/issues.html?issue=62&id=12 | | url=http://www.phrack.org/issues.html?issue=62&id=12 | ||
| Line 223: | Line 225: | ||
| title= NTIllusion: एक पोर्टेबल Win32 यूजरलैंड रूटकिट| author=Kdm | | title= NTIllusion: एक पोर्टेबल Win32 यूजरलैंड रूटकिट| author=Kdm | ||
}}</ref> | }}</ref> | ||
=== कर्नेल मोड === | === कर्नेल मोड === | ||
कर्नेल-मोड रूटकिट उच्चतम ऑपरेटिंग सिस्टम विशेषाधिकारों (रिंग | कर्नेल-मोड रूटकिट उच्चतम ऑपरेटिंग सिस्टम विशेषाधिकारों (रिंग) के साथ कोड जोड़कर या कर्नेल (कंप्यूटर विज्ञान) और संबंधित डिवाइस ड्राइवर दोनों सहित कोर ऑपरेटिंग सिस्टम के भागों को बदलकर चलते हैं।{{citation needed|date=July 2021}} अधिकांश ऑपरेटिंग सिस्टम कर्नेल-मोड डिवाइस ड्राइवरों का समर्थन करते हैं, जो ऑपरेटिंग सिस्टम के समान विशेषाधिकारों के साथ निष्पादित होते हैं। जैसे, कई कर्नेल-मोड रूटकिट डिवाइस ड्राइवर या लोड करने योग्य मॉड्यूल के रूप में विकसित किए जाते हैं, जैसे [[लिनक्स]] में [[मॉड्यूल (लिनक्स)]] या [[माइक्रोसॉफ़्ट विंडोज़]] में डिवाइस ड्राइवर। रूटकिट के इस वर्ग के पास अप्रतिबंधित सुरक्षा पहुंच है, परंतु लिखना अधिक कठिन है।<ref name="UAMT"/>जटिलता बग को सामान्य बनाती है, और कर्नेल स्तर पर संचालन करने वाले कोड में कोई भी बग सिस्टम स्थिरता को गंभीर रूप से प्रभावित कर सकता है, जिससे रूटकिट की खोज हो सकती है।<ref name="UAMT"/>पहले व्यापक रूप से ज्ञात कर्नेल रूटकिट्स में से एक को विंडोज एनटी 4.0 के लिए विकसित किया गया था और 1999 में ग्रेग होगलंड द्वारा [[फ्रैक]] पत्रिका में जारी किया गया था।<ref>{{cite journal | ||
| journal=[[Phrack]] | | journal=[[Phrack]] | ||
| title=ए * रियल * एनटी रूटकिट, एनटी कर्नेल को पैच करना| first=Greg | | title=ए * रियल * एनटी रूटकिट, एनटी कर्नेल को पैच करना| first=Greg | ||
| Line 291: | Line 292: | ||
==== | ====बूटकिट्स ==== | ||
कर्नेल-मोड रूटकिट वेरिएंट जिसे बूटकिट कहा जाता है, [[मास्टर बूट दस्तावेज़]] (एमबीआर), [[वॉल्यूम बूट रिकॉर्ड]] (वीबीआर), या बूट सेक्टर जैसे स्टार्टअप कोड को संक्रमित कर सकता है, और इस तरह [[पूर्ण डिस्क एन्क्रिप्शन]] सिस्टम पर हमला करने के लिए प्रयुक्त किया जा सकता है।<ref>{{cite web|url=https://arstechnica.com/gadgets/2020/07/red-hat-and-centos-systems-arent-booting-due-to-boothole-patches/|title=बूटहोल पैच के कारण Red Hat और CentOS सिस्टम बूट नहीं हो रहे हैं|last=Salter|first=Jim|website=[[Ars Technica]]|date=July 31, 2020|access-date=July 24, 2021}}</ref> | कर्नेल-मोड रूटकिट वेरिएंट जिसे बूटकिट कहा जाता है, [[मास्टर बूट दस्तावेज़]] (एमबीआर), [[वॉल्यूम बूट रिकॉर्ड]] (वीबीआर), या बूट सेक्टर जैसे स्टार्टअप कोड को संक्रमित कर सकता है, और इस तरह [[पूर्ण डिस्क एन्क्रिप्शन]] सिस्टम पर हमला करने के लिए प्रयुक्त किया जा सकता है।<ref>{{cite web|url=https://arstechnica.com/gadgets/2020/07/red-hat-and-centos-systems-arent-booting-due-to-boothole-patches/|title=बूटहोल पैच के कारण Red Hat और CentOS सिस्टम बूट नहीं हो रहे हैं|last=Salter|first=Jim|website=[[Ars Technica]]|date=July 31, 2020|access-date=July 24, 2021}}</ref> डिस्क एन्क्रिप्शन पर इस तरह के हमले का एक उदाहरण दुष्ट नौकरानी का हमला है, जिसमें एक हमलावर एक उपेक्षित कंप्यूटर पर बूटकिट स्थापित करता है। परिकल्पित परिदृश्य होटल के उस कमरे में घुसने वाली एक नौकरानी है जहाँ पीड़ितों ने अपना हार्डवेयर छोड़ा था।<ref>{{cite web | ||
डिस्क एन्क्रिप्शन पर इस तरह के हमले का एक उदाहरण दुष्ट नौकरानी का हमला है, जिसमें एक हमलावर एक उपेक्षित कंप्यूटर पर बूटकिट स्थापित करता है। परिकल्पित परिदृश्य होटल के उस कमरे में घुसने वाली एक नौकरानी है जहाँ पीड़ितों ने अपना हार्डवेयर छोड़ा था।<ref>{{cite web | |||
| url=http://www.schneier.com/blog/archives/2009/10/evil_maid_attac.html | | url=http://www.schneier.com/blog/archives/2009/10/evil_maid_attac.html | ||
| author-link=Bruce Schneier | | author-link=Bruce Schneier | ||
| Line 345: | Line 345: | ||
| last=Goodin | | last=Goodin | ||
| first=Dan | | first=Dan | ||
}}</ref> यद्यपि उपयोगकर्ता कुछ ऐसा करने के अर्थ में मैलवेयर नहीं है जो उपयोगकर्ता नहीं चाहता है, कुछ विस्टा लोडर या विंडोज लोडर सॉफ़्टवेयर रैम-कैश संस्करण में एक उन्नत कॉन्फ़िगरेशन और पावर इंटरफेस एसएलआईसी (सिस्टम लाइसेंस प्राप्त आंतरिक कोड) तालिका को इंजेक्ट करके समान विधि से काम करते हैं। | }}</ref> यद्यपि उपयोगकर्ता कुछ ऐसा करने के अर्थ में मैलवेयर नहीं है जो उपयोगकर्ता नहीं चाहता है, कुछ विस्टा लोडर या विंडोज लोडर सॉफ़्टवेयर रैम-कैश संस्करण में एक उन्नत कॉन्फ़िगरेशन और पावर इंटरफेस एसएलआईसी (सिस्टम लाइसेंस प्राप्त आंतरिक कोड) तालिका को इंजेक्ट करके समान विधि से काम करते हैं। माइक्रोसॉफ्टउत्पाद सक्रियण को विफल करने के लिए बूट के दौरान BIOS का।{{citation needed|date=July 2021}} हमले के इस वेक्टर को [[विंडोज 8]] के (गैर-सर्वर) संस्करणों में बेकार कर दिया गया था, जो प्रत्येक सिस्टम के लिए एक अद्वितीय, मशीन-विशिष्ट कुंजी का उपयोग करते हैं, जिसका उपयोग मात्र उस एक मशीन द्वारा किया जा सकता है।<ref>{{Cite web|url=https://www.theregister.com/2012/08/03/windows_oem_activation_30/|title=माइक्रोसॉफ्ट ने ओईएम विंडोज 8 लाइसेंसिंग पर पकड़ मजबूत की|first=Neil McAllister in San|last=Francisco|website=www.theregister.com}}</ref> कई एंटीवायरस कंपनियां बूटकिट्स को हटाने के लिए मुफ्त उपयोगिताओं और प्रोग्राम प्रदान करती हैं। | ||
=== [[सूत्र]] स्तर === | === [[सूत्र]] स्तर === | ||
| Line 356: | Line 356: | ||
| date = 2007-08-07 | | date = 2007-08-07 | ||
| id = [[CiteSeerX]]: {{url|1=citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.90.8832|2=10.1.1.90.8832}} | | id = [[CiteSeerX]]: {{url|1=citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.90.8832|2=10.1.1.90.8832}} | ||
}}</ref> सामान्य हाइपरविजर के विपरीत, उन्हें ऑपरेटिंग सिस्टम से पहले लोड नहीं करना पड़ता है, परंतु वर्चुअल मशीन में इसे बढ़ावा देने से पहले ऑपरेटिंग सिस्टम में लोड कर सकते हैं।<ref name="Harris"/>एक हाइपरविजर रूटकिट को लक्ष्य को हटाने के लिए लक्ष्य के कर्नेल में कोई संशोधन नहीं करना पड़ता है; चूंकि, इसका मतलब यह नहीं है कि अतिथि ऑपरेटिंग सिस्टम द्वारा इसका पता नहीं लगाया जा सकता है। उदाहरण के लिए, केंद्रीय प्रसंस्करण इकाई के निर्देशों में समय के अंतर का पता लगाया जा सकता है।<ref name="Harris"/> | }}</ref> सामान्य हाइपरविजर के विपरीत, उन्हें ऑपरेटिंग सिस्टम से पहले लोड नहीं करना पड़ता है, परंतु वर्चुअल मशीन में इसे बढ़ावा देने से पहले ऑपरेटिंग सिस्टम में लोड कर सकते हैं।<ref name="Harris"/>एक हाइपरविजर रूटकिट को लक्ष्य को हटाने के लिए लक्ष्य के कर्नेल में कोई संशोधन नहीं करना पड़ता है; चूंकि, इसका मतलब यह नहीं है कि अतिथि ऑपरेटिंग सिस्टम द्वारा इसका पता नहीं लगाया जा सकता है। उदाहरण के लिए, केंद्रीय प्रसंस्करण इकाई के निर्देशों में समय के अंतर का पता लगाया जा सकता है।<ref name="Harris"/>माइक्रोसॉफ्टऔर मिशिगन विश्वविद्यालय के शोधकर्ताओं द्वारा संयुक्त रूप से विकसित सबवर्ट प्रयोगशाला रूटकिट, वर्चुअल-मशीन-आधारित रूटकिट (VMBR) का एक अकादमिक उदाहरण है,<ref>{{cite conference | ||
| url=http://www.eecs.umich.edu/virtual/papers/king06.pdf | | url=http://www.eecs.umich.edu/virtual/papers/king06.pdf | ||
| access-date=2008-09-15 | | access-date=2008-09-15 | ||
| Line 378: | Line 378: | ||
| last6 = Lorch | | last6 = Lorch | ||
| first6 = Jacob R. | | first6 = Jacob R. | ||
}}</ref> | }}</ref>जबकि [[ब्लू पिल (सॉफ्टवेयर)|ब्लू पिल]] सॉफ्टवेयर दूसरा है। 2009 में, माइक्रोसॉफ्ट और [[उत्तरी कैरोलिना स्टेट यूनिवर्सिटी]] के शोधकर्ताओं ने [[हुकसेफ]] नामक एक हाइपरवाइजर-लेयर एंटी-रूटकिट का प्रदर्शन किया, जो कर्नेल-मोड रूटकिट्स के खिलाफ सामान्य सुरक्षा प्रदान करता है।<ref>{{Cite conference | ||
जबकि [[ब्लू पिल (सॉफ्टवेयर)]] सॉफ्टवेयर दूसरा है। 2009 में, माइक्रोसॉफ्ट और [[उत्तरी कैरोलिना स्टेट यूनिवर्सिटी]] के शोधकर्ताओं ने [[हुकसेफ]] नामक एक हाइपरवाइजर-लेयर एंटी-रूटकिट का प्रदर्शन किया, जो कर्नेल-मोड रूटकिट्स के खिलाफ सामान्य सुरक्षा प्रदान करता है।<ref>{{Cite conference | |||
| url = http://research.microsoft.com/en-us/um/people/wdcui/papers/hooksafe-ccs09.pdf | | url = http://research.microsoft.com/en-us/um/people/wdcui/papers/hooksafe-ccs09.pdf | ||
| title=लाइटवेट हुक प्रोटेक्शन के साथ कर्नेल रूटकिट्स का मुकाबला करना| conference = CCS 2009: 16th ACM Conference on Computer and Communications Security | | title=लाइटवेट हुक प्रोटेक्शन के साथ कर्नेल रूटकिट्स का मुकाबला करना| conference = CCS 2009: 16th ACM Conference on Computer and Communications Security | ||
| Line 404: | Line 403: | ||
=== फर्मवेयर और हार्डवेयर === | === फर्मवेयर और हार्डवेयर === | ||
एक फर्मवेयर रूटकिट डिवाइस या प्लेटफॉर्म फर्मवेयर का उपयोग हार्डवेयर में एक स्थायी मैलवेयर छवि बनाने के लिए करता है, जैसे [[राउटर (कंप्यूटिंग)]], [[नेटवर्क इंटरफ़ेस नियंत्रक]],<ref>{{cite conference | एक फर्मवेयर रूटकिट डिवाइस या प्लेटफॉर्म फर्मवेयर का उपयोग हार्डवेयर में एक स्थायी मैलवेयर छवि बनाने के लिए करता है, जैसे [[राउटर (कंप्यूटिंग)|राउटर]] , [[नेटवर्क इंटरफ़ेस नियंत्रक]],<ref>{{cite conference | ||
| conference=hack.lu | | conference=hack.lu | ||
| url=http://esec-lab.sogeti.com/dotclear/public/publications/10-hack.lu-nicreverse_slides.pdf | | url=http://esec-lab.sogeti.com/dotclear/public/publications/10-hack.lu-nicreverse_slides.pdf | ||
| Line 468: | Line 467: | ||
}}</ref> कुछ महीनों बाद उन्हें पता चला कि कुछ लैपटॉप एक वैध रूटकिट के साथ बेचे जाते हैं, जिसे लैपटॉप के लिए एब्सोल्यूट [[कंप्यूट्रेस]] या एब्सोल्यूट लोजैक के रूप में जाना जाता है, जो कई BIOS छवियों में पहले से इंस्टॉल होता है। यह एक एंटी-[[लैपटॉप चोरी]] प्रौद्योगिकी प्रणाली है जिसे शोधकर्ताओं ने दिखाया है कि इसे द्वेषपूर्ण उद्देश्यों में बदल दिया जा सकता है।<ref name="Ortega" /> | }}</ref> कुछ महीनों बाद उन्हें पता चला कि कुछ लैपटॉप एक वैध रूटकिट के साथ बेचे जाते हैं, जिसे लैपटॉप के लिए एब्सोल्यूट [[कंप्यूट्रेस]] या एब्सोल्यूट लोजैक के रूप में जाना जाता है, जो कई BIOS छवियों में पहले से इंस्टॉल होता है। यह एक एंटी-[[लैपटॉप चोरी]] प्रौद्योगिकी प्रणाली है जिसे शोधकर्ताओं ने दिखाया है कि इसे द्वेषपूर्ण उद्देश्यों में बदल दिया जा सकता है।<ref name="Ortega" /> | ||
इंटेल सक्रिय प्रबंधन प्रौद्योगिकी, इंटेल vPro प्रबंधन का हिस्सा है, आउट-ऑफ़-बैंड प्रबंधन लागू करता है, प्रशासकों को [[दूरस्थ प्रशासन]], [[दूरस्थ अवसंरचना प्रबंधन]], और होस्ट प्रोसेसर या BIOS की भागीदारी के बिना पीसी के [[रिमोट डेस्कटॉप सॉफ्टवेयर]] देता है, तब भी जब सिस्टम बंद है। रिमोट प्रशासन में रिमोट पावर-अप और पावर-डाउन, रिमोट रीसेट, रीडायरेक्ट बूट, कंसोल रीडायरेक्शन, BIOS सेटिंग्स के लिए प्री-बूट एक्सेस, इनबाउंड और आउटबाउंड नेटवर्क ट्रैफिक के लिए प्रोग्राम करने योग्य फ़िल्टरिंग, एजेंट उपस्थिति जांच, आउट-ऑफ-बैंड नीति-आधारित सम्मलित हैं। अलर्टिंग, सिस्टम की जानकारी तक पहुंच, जैसे कि हार्डवेयर संपत्ति की जानकारी, लगातार इवेंट लॉग, और अन्य जानकारी जो समर्पित मेमोरी (हार्ड ड्राइव पर नहीं) में संग्रहीत होती है, जहां ओएस के डाउन होने या पीसी के बंद होने पर भी इसे एक्सेस किया जा सकता है। इनमें से कुछ कार्यों के लिए रूटकिट के गहनतम स्तर की आवश्यकता होती है, मुख्य कंप्यूटर के चारों ओर निर्मित एक दूसरा गैर-हटाने योग्य स्पाई कंप्यूटर। सैंडी ब्रिज और भविष्य के [[चिपसेट]] में 3जी के माध्यम से खोए या चोरी हुए पीसी को दूरस्थ रूप से खत्म करने और पुनर्स्थापित करने की क्षमता है। चिपसेट में निर्मित हार्डवेयर रूटकिट चोरी हुए कंप्यूटरों को पुनर्प्राप्त करने, डेटा को हटाने, या उन्हें बेकार करने में मदद कर सकते हैं, परंतु वे प्रबंधन या हैकर्स द्वारा नियंत्रण प्राप्त करने वाले गुप्त जासूसी और पुनर्निर्देशन की गोपनीयता और सुरक्षा चिंताओं को भी प्रस्तुत करते हैं। | |||
== स्थापना और क्लोकिंग == | == स्थापना और क्लोकिंग == | ||
रूटकिट्स सिस्टम पर नियंत्रण हासिल करने के लिए कई तरह की तकनीकों का प्रयुक्त करते हैं; रूटकिट का प्रकार अटैक वेक्टर की पसंद को प्रभावित करता है। गुप्त विशेषाधिकार वृद्धि को प्राप्त करने के लिए सबसे आम तकनीक भेद्यता (कंप्यूटिंग) का लाभ उठाती है। एक अन्य दृष्टिकोण एक [[ट्रोजन हॉर्स (कंप्यूटिंग)]] का उपयोग करना है, एक कंप्यूटर उपयोगकर्ता को रूटकिट के इंस्टॉलेशन प्रोग्राम को सौम्य मानने के लिए धोखा देना है - इस मामले में, सोशल इंजीनियरिंग (सुरक्षा) एक उपयोगकर्ता को आश्वस्त करती है कि रूटकिट | रूटकिट्स सिस्टम पर नियंत्रण हासिल करने के लिए कई तरह की तकनीकों का प्रयुक्त करते हैं; रूटकिट का प्रकार अटैक वेक्टर की पसंद को प्रभावित करता है। गुप्त विशेषाधिकार वृद्धि को प्राप्त करने के लिए सबसे आम तकनीक भेद्यता (कंप्यूटिंग) का लाभ उठाती है। एक अन्य दृष्टिकोण एक [[ट्रोजन हॉर्स (कंप्यूटिंग)|ट्रोजन हॉर्स]] का उपयोग करना है, एक कंप्यूटर उपयोगकर्ता को रूटकिट के इंस्टॉलेशन प्रोग्राम को सौम्य मानने के लिए धोखा देना है - इस मामले में, सोशल इंजीनियरिंग (सुरक्षा) एक उपयोगकर्ता को आश्वस्त करती है कि रूटकिट लाभप्रद है।<ref name="UAMT"/>यदि [[कम से कम विशेषाधिकार का सिद्धांत]] लागू नहीं किया जाता है, तो स्थापना कार्य आसान हो जाता है, क्योंकि रूटकिट को तब स्पष्ट रूप से उन्नत (व्यवस्थापक-स्तर) विशेषाधिकारों का अनुरोध नहीं करना पड़ता है। रूटकिट के अन्य वर्ग मात्र लक्ष्य प्रणाली तक भौतिक पहुंच वाले किसी व्यक्ति द्वारा स्थापित किए जा सकते हैं। कुछ रूटकिट अभिप्रायपूर्वक सिस्टम के मालिक या मालिक द्वारा अधिकृत किसी व्यक्ति द्वारा भी स्थापित किए जा सकते हैं, उदा। [[कर्मचारी निगरानी]] के प्रयोजन के लिए, ऐसी विध्वंसक तकनीकों को अनावश्यक रूप से प्रतिपादित करना।<ref>{{cite book | ||
| title=पेशेवर रूटकिट्स| author=Ric Vieler | | title=पेशेवर रूटकिट्स| author=Ric Vieler | ||
| publisher=John Wiley & Sons | | publisher=John Wiley & Sons | ||
| Line 477: | Line 476: | ||
| isbn=9780470149546 | | isbn=9780470149546 | ||
| page=244 | | page=244 | ||
}}</ref> वितरण के लिए विशिष्ट पे-पर-इंस्टॉल ( | }}</ref> वितरण के लिए विशिष्ट पे-पर-इंस्टॉल (पीपीआई) मुआवजा पद्धति के साथ कुछ द्वेषपूर्ण रूटकिट इंस्टॉलेशन व्यावसायिक रूप से संचालित होते हैं।<ref>{{cite web | ||
|url = http://www.eset.com/resources/white-papers/TDL3-Analysis.pdf | |url = http://www.eset.com/resources/white-papers/TDL3-Analysis.pdf | ||
|title = TDL3: The Rootkit of All Evil? | |title = TDL3: The Rootkit of All Evil? | ||
| Line 505: | Line 504: | ||
|archive-url = https://web.archive.org/web/20150729043339/http://www.eset.com/us/resources/white-papers/The_Evolution_of_TDL.pdf | |archive-url = https://web.archive.org/web/20150729043339/http://www.eset.com/us/resources/white-papers/The_Evolution_of_TDL.pdf | ||
|archive-date = 2015-07-29 | |archive-date = 2015-07-29 | ||
}}</ref> | }}</ref> एक बार इंस्टॉल हो जाने के बाद, रूटकिट निदान, स्कैनिंग और निगरानी के लिए उपयोग किए जाने वाले मानक ऑपरेटिंग सिस्टम [[कंप्यूटर सुरक्षा]] उपकरण और [[अप्लिकेशन प्रोग्रामिंग अंतरफलक]] (एपीआई) के विचलन या चोरी के माध्यम से मेजबान सिस्टम के अंतर्गत अपनी उपस्थिति को अस्पष्ट करने के लिए सक्रिय उपाय करता है।<ref>{{cite web|url=https://www.bleepingcomputer.com/news/security/new-moriya-rootkit-used-in-the-wild-to-backdoor-windows-systems/|title=नई मोरिया रूटकिट जंगली से पिछले दरवाजे विंडोज सिस्टम में उपयोग की जाती है|last=Gatlan|first=Sergiu|website=[[Bleeping Computer]]|date=May 6, 2021|access-date=July 24, 2021}}</ref> रूटकिट्स रिंग (कंप्यूटर सुरक्षा) के व्यवहार को अन्य प्रक्रियाओं में लोडिंग कोड, डिवाइस ड्राइवर की स्थापना या संशोधन, या [[लोड करने योग्य कर्नेल मॉड्यूल]] के माध्यम से संशोधित करके इसे प्राप्त करते हैं। अस्पष्टीकरण तकनीकों में सिस्टम-निगरानी तंत्र से चल रही प्रक्रियाओं को छुपाना और सिस्टम फ़ाइलों और अन्य कॉन्फ़िगरेशन डेटा को छुपाना सम्मलित है।<ref>{{cite web | ||
एक बार इंस्टॉल हो जाने के बाद, रूटकिट निदान, स्कैनिंग और निगरानी के लिए उपयोग किए जाने वाले मानक ऑपरेटिंग सिस्टम [[कंप्यूटर सुरक्षा]] उपकरण और [[अप्लिकेशन प्रोग्रामिंग अंतरफलक]] (एपीआई) के विचलन या चोरी के माध्यम से मेजबान सिस्टम के अंतर्गत अपनी उपस्थिति को अस्पष्ट करने के लिए सक्रिय उपाय करता है।<ref>{{cite web|url=https://www.bleepingcomputer.com/news/security/new-moriya-rootkit-used-in-the-wild-to-backdoor-windows-systems/|title=नई मोरिया रूटकिट जंगली से पिछले दरवाजे विंडोज सिस्टम में उपयोग की जाती है|last=Gatlan|first=Sergiu|website=[[Bleeping Computer]]|date=May 6, 2021|access-date=July 24, 2021}}</ref> रूटकिट्स रिंग (कंप्यूटर सुरक्षा) के व्यवहार को अन्य प्रक्रियाओं में लोडिंग कोड, डिवाइस ड्राइवर की स्थापना या संशोधन, या [[लोड करने योग्य कर्नेल मॉड्यूल]] के माध्यम से संशोधित करके इसे प्राप्त करते हैं। अस्पष्टीकरण तकनीकों में सिस्टम-निगरानी तंत्र से चल रही प्रक्रियाओं को छुपाना और सिस्टम फ़ाइलों और अन्य कॉन्फ़िगरेशन डेटा को छुपाना सम्मलित है।<ref>{{cite web | |||
| url=http://www.usenix.org/publications/login/1999-9/features/rootkits.html | | url=http://www.usenix.org/publications/login/1999-9/features/rootkits.html | ||
| title=अदृश्य घुसपैठिए: अभ्यास में रूटकिट| date=1999-11-16 | | title=अदृश्य घुसपैठिए: अभ्यास में रूटकिट| date=1999-11-16 | ||
| Line 513: | Line 511: | ||
| work = USENIX | | work = USENIX | ||
| publisher=[[USENIX]] | | publisher=[[USENIX]] | ||
}}</ref> किसी हमले के साक्ष्य को छिपाने के प्रयास में, रूटकिट के लिए ऑपरेटिंग सिस्टम की [[इवेंट लोग]] | }}</ref> किसी हमले के साक्ष्य को छिपाने के प्रयास में, रूटकिट के लिए ऑपरेटिंग सिस्टम की [[इवेंट लोग|इवेंट]] लॉगिंग क्षमता को अक्षम करना असामान्य नहीं है। रूटकिट्स, सिद्धांत रूप में, किसी भी ऑपरेटिंग सिस्टम की गतिविधियों को उलट सकते हैं।<ref name="MIT"/>संपूर्ण रूटकिट को एक संपूर्ण अपराध के समान माना जा सकता है: ऐसा अपराध जिसे किसी को पता ही नहीं चलता है। रूटकिट्स सामान्यतः रिंग 0 (कर्नेल-मोड) में स्थापित करने के अतिरिक्त एंटीवायरस सॉफ़्टवेयर द्वारा पता लगाने और सफाई के खिलाफ अपने अस्तित्व को सुनिश्चित करने के लिए कई उपाय भी करते हैं, जहां उनके पास सिस्टम तक पूरी पहुंच होती है। इनमें [[बहुरूपी कोड]] सम्मलित हैं (बदलना जिससे उनके हस्ताक्षर का पता लगाना कठिन हो), चुपके तकनीक, पुनर्जनन, एंटी-मैलवेयर सॉफ़्टवेयर को अक्षम या बंद करना,<ref name="trlokom">{{Cite web | ||
|url = http://www.trlokom.com/pdf/TrlokomRootkitDefenseWhitePaper.pdf | |url = http://www.trlokom.com/pdf/TrlokomRootkitDefenseWhitePaper.pdf | ||
|title = Defeating Rootkits and Keyloggers | |title = Defeating Rootkits and Keyloggers | ||
| Line 548: | Line 546: | ||
|archive-url = https://web.archive.org/web/20100911033147/http://download.microsoft.com/download/a/b/e/abefdf1c-96bd-40d6-a138-e320b6b25bd3/understandingantimalwaretechnologies.pdf | |archive-url = https://web.archive.org/web/20100911033147/http://download.microsoft.com/download/a/b/e/abefdf1c-96bd-40d6-a138-e320b6b25bd3/understandingantimalwaretechnologies.pdf | ||
|archive-date = 2010-09-11 | |archive-date = 2010-09-11 | ||
}}</ref> कंप्यूटर वायरस की तरह, रूटकिट का पता लगाना और हटाना इस संघर्ष के दोनों पक्षों के बीच एक सतत संघर्ष है।<ref name="MIT"/>डिटेक्शन कई अलग-अलग दृष्टिकोण अपना सकता है, जिसमें वायरस सिग्नेचर (जैसे एंटीवायरस सॉफ़्टवेयर), इंटीग्रिटी चेकिंग (जैसे [[अंगुली का हस्ताक्षर]]), अंतर-आधारित डिटेक्शन (अपेक्षित बनाम वास्तविक परिणामों की तुलना), और व्यवहारिक डिटेक्शन (जैसे मॉनिटरिंग CPU उपयोग) सम्मलित | }}</ref> कंप्यूटर वायरस की तरह, रूटकिट का पता लगाना और हटाना इस संघर्ष के दोनों पक्षों के बीच एक सतत संघर्ष है।<ref name="MIT"/>डिटेक्शन कई अलग-अलग दृष्टिकोण अपना सकता है, जिसमें वायरस सिग्नेचर (जैसे एंटीवायरस सॉफ़्टवेयर), इंटीग्रिटी चेकिंग (जैसे [[अंगुली का हस्ताक्षर]]), अंतर-आधारित डिटेक्शन (अपेक्षित बनाम वास्तविक परिणामों की तुलना), और व्यवहारिक डिटेक्शन (जैसे मॉनिटरिंग CPU उपयोग) सम्मलित हैंnया नेटवर्क ट्रैफ़िक)। | ||
कर्नेल-मोड रूटकिट्स के लिए, पता लगाना काफी अधिक जटिल है, हुकिंग की तलाश के लिए सिस्टम कॉल टेबल की सावधानीपूर्वक जांच की आवश्यकता होती है जहां मैलवेयर सिस्टम व्यवहार को नष्ट कर सकता है,<ref>{{cite web | कर्नेल-मोड रूटकिट्स के लिए, पता लगाना काफी अधिक जटिल है, हुकिंग की तलाश के लिए सिस्टम कॉल टेबल की सावधानीपूर्वक जांच की आवश्यकता होती है जहां मैलवेयर सिस्टम व्यवहार को नष्ट कर सकता है,<ref>{{cite web | ||
| Line 564: | Line 562: | ||
| publisher=[[SourceForge]] | | publisher=[[SourceForge]] | ||
| date=18 July 2009 | | date=18 July 2009 | ||
}}</ref> [[chkrootkit]], [[rkhunter]] और [[OSSEC]]। विंडोज के लिए, डिटेक्शन टूल में | }}</ref> [[chkrootkit]], [[rkhunter]] और [[OSSEC]]। विंडोज के लिए, डिटेक्शन टूल में माइक्रोसॉफ्टSysinternals RootkitRevealer सम्मलित है,<ref>{{cite web | ||
| url=https://technet.microsoft.com/en-us/sysinternals/bb897445.aspx | | url=https://technet.microsoft.com/en-us/sysinternals/bb897445.aspx | ||
| publisher=[[Microsoft]] | | publisher=[[Microsoft]] | ||
| Line 685: | Line 683: | ||
| archive-url=https://web.archive.org/web/20081205031526/http://www.mcafee.com/us/local_content/white_papers/wp_rootkits_0407.pdf | | archive-url=https://web.archive.org/web/20081205031526/http://www.mcafee.com/us/local_content/white_papers/wp_rootkits_0407.pdf | ||
| archive-date=2008-12-05 | | archive-date=2008-12-05 | ||
}}</ref> परंतु कई सुरक्षा-सॉफ़्टवेयर विक्रेता स्वचालित रूप से कुछ रूटकिट का पता लगाने और हटाने के लिए उपकरण प्रदान करते हैं, सामान्यतः एक एंटीवायरस सॉफ़्टवेयर के भाग के रूप में। {{As of|2005}}, | }}</ref> परंतु कई सुरक्षा-सॉफ़्टवेयर विक्रेता स्वचालित रूप से कुछ रूटकिट का पता लगाने और हटाने के लिए उपकरण प्रदान करते हैं, सामान्यतः एक एंटीवायरस सॉफ़्टवेयर के भाग के रूप में। {{As of|2005}}, माइक्रोसॉफ्टका मासिक Windows द्वेषपूर्ण सॉफ़्टवेयर निष्कासन उपकरण रूटकिट के कुछ वर्गों का पता लगाने और उन्हें निकालने में सक्षम है।<ref>{{cite web | ||
| url=http://searchenterprisedesktop.techtarget.com/news/column/0,294698,sid192_gci1112754,00.html | | url=http://searchenterprisedesktop.techtarget.com/news/column/0,294698,sid192_gci1112754,00.html | ||
| title=रूटकिट लड़ाई: रूटकिट रिवीलर बनाम हैकर डिफेंडर| first=Kurt | | title=रूटकिट लड़ाई: रूटकिट रिवीलर बनाम हैकर डिफेंडर| first=Kurt | ||
| Line 778: | Line 776: | ||
| archive-url=https://web.archive.org/web/20101024164136/http://www.sans.org/reading_room/whitepapers/linux/linux-rootkits-beginners-prevention-removal_901 | | archive-url=https://web.archive.org/web/20101024164136/http://www.sans.org/reading_room/whitepapers/linux/linux-rootkits-beginners-prevention-removal_901 | ||
| archive-date=October 24, 2010 | | archive-date=October 24, 2010 | ||
}}</ref> [[यूईएफआई]] जैसे नए सुरक्षित बूट विनिर्देशों को बूटकिट के खतरे को संबोधित करने के लिए डिज़ाइन किया गया है, परंतु ये भी असुरक्षित हैं यदि उनके द्वारा प्रदान की जाने वाली सुरक्षा सुविधाओं का उपयोग नहीं किया जाता है।<ref name="blog.trendmicro.com"/>सर्वर सिस्टम के लिए, इंटेल [[विश्वसनीय निष्पादन प्रौद्योगिकी]] (TXT) जैसी तकनीकों का उपयोग करके रिमोट सर्वर प्रमाणन यह सत्यापित करने का एक तरीका प्रदान करता है कि सर्वर एक ज्ञात अच्छी स्थिति में रहते हैं। उदाहरण के लिए, | }}</ref> [[यूईएफआई]] जैसे नए सुरक्षित बूट विनिर्देशों को बूटकिट के खतरे को संबोधित करने के लिए डिज़ाइन किया गया है, परंतु ये भी असुरक्षित हैं यदि उनके द्वारा प्रदान की जाने वाली सुरक्षा सुविधाओं का उपयोग नहीं किया जाता है।<ref name="blog.trendmicro.com"/>सर्वर सिस्टम के लिए, इंटेल [[विश्वसनीय निष्पादन प्रौद्योगिकी]] (TXT) जैसी तकनीकों का उपयोग करके रिमोट सर्वर प्रमाणन यह सत्यापित करने का एक तरीका प्रदान करता है कि सर्वर एक ज्ञात अच्छी स्थिति में रहते हैं। उदाहरण के लिए, माइक्रोसॉफ्ट[[Bitlocker]] का डेटा-एट-रेस्ट का एन्क्रिप्शन सत्यापित करता है कि सर्वर बूटअप पर ज्ञात अच्छी स्थिति में हैं। [[PrivateCore]] vCage एक सॉफ्टवेयर पेशकश है जो बूटकिट से बचने के लिए डेटा-इन-यूज (मेमोरी) को सुरक्षित करता है और सर्वर को सत्यापित करके रूटकिट बूटअप पर एक ज्ञात अच्छी स्थिति में है। PrivateCore कार्यान्वयन इंटेल TXT के साथ मिलकर काम करता है और संभावित बूटकिट और रूटकिट से बचने के लिए सर्वर सिस्टम इंटरफेस को लॉक कर देता है। | ||
== यह भी देखें == | == यह भी देखें == | ||