रूटकिट: Difference between revisions

Latest revision as of 20:48, 31 January 2023

रूटकिट सॉफ्टवेयर का संग्रह है, जो सामान्यतः द्वेषपूर्ण होता है, जिसे कंप्यूटर या इसके सॉफ़्टवेयर के क्षेत्र तक पहुंच को सक्षम बनाने के लिए डिज़ाइन किया गया है, जिसे अन्यथा अनुमति नहीं है (उदाहरण के लिए, अनधिकृत उपयोगकर्ता के लिए) और अधिकांशतः इसके अस्तित्व या अन्य सॉफ़्टवेयर के अस्तित्व को छुपाता है।^[1] अर्थात रूटकिट सामान्यतः गलत उद्देश्यों को पूरा करने के लिए बनाया जाता है। इसे इस तरह से बनाया जाता है कि ये कम्प्युटर या उस क्षेत्र में ऐसे स्थान पर भी कार्य करता है, जिस स्थान पर सॉफ्टवेयर को आम तौर पर अनुमति नहीं होती है।शब्द रूटकिट "रूट" का यौगिक है (यूनिक्स-जैसे ऑपरेटिंग सिस्टम पर विशेषाधिकार प्राप्त अकाउंट का पारंपरिक नाम) और शब्द किट (जो उपकरण को लागू करने वाले सॉफ़्टवेयर घटकों को संदर्भित करता है)।^[2] रूटकिट शब्द का मैलवेयर के साथ जुड़ाव के कारण नकारात्मक अर्थ है।^[1]

रूटकिट इंस्टॉलेशन को स्वचालित किया जा सकता है, या हैकर (कंप्यूटर सुरक्षा) रूट या एडमिनिस्ट्रेटर एक्सेस प्राप्त करने के बाद इसे इंस्टॉल कर सकता है।^[3] इस पहुंच को प्राप्त करना प्रणाली पर सीधे हमले का परिणाम है, अर्थात भेद्यता (जैसे विशेषाधिकार वृद्धि) या पासवर्ड (पासवर्ड क्रैकिंग या सोशल इंजीनियरिंग रणनीति जैसे "फ़िशिंग" द्वारा प्राप्त किया गया) बार इंस्टॉल हो जाने पर, घुसपैठ को छुपाना और साथ ही विशेषाधिकार प्राप्त पहुंच को बनाए रखना संभव हो जाता है। किसी सिस्टम पर पूर्ण नियंत्रण का अर्थ है कि विद्यमान सॉफ़्टवेयर को संशोधित किया जा सकता है, जिसमें वह सॉफ़्टवेयर भी सम्मलित है जो अन्यथा इसका पता लगाने या इसे रोकने के लिए उपयोग किया जा सकता है।

रूटकिट का पता लगाना कठिन है क्योंकि रूटकिट उस सॉफ़्टवेयर को नष्ट करने में सक्षम हो सकता है जो इसे खोजने का उद्देश्य रखता है। पता लगाने के तरीकों में वैकल्पिक और विश्वसनीय ऑपरेटिंग सिस्टम, व्यवहार-आधारित विधि, हस्ताक्षर स्कैनिंग, अंतर स्कैनिंग और मेमोरी डंप विश्लेषण का उपयोग करना सम्मलित है। हटाना जटिल या व्यावहारिक रूप से असंभव हो सकता है, विशेषकर उन स्थितियों में जहां रूटकिट कर्नेल (ऑपरेटिंग सिस्टम) में रहता है; ऑपरेटिंग सिस्टम की पुनर्स्थापना समस्या का एकमात्र उपलब्ध समाधान हो सकता है। फर्मवेयर रूटकिट के साथ काम करते समय, हटाने के लिए संगणक धातु सामग्री प्रतिस्थापन या विशेष उपकरण की आवश्यकता हो सकती है।

इतिहास

शब्द रूटकिट या रूट किट मूल रूप से यूनिक्स जैसे ऑपरेटिंग सिस्टम के लिए प्रशासनिक उपकरणों के द्वेषपूर्ण रूप से संशोधित सेट को संदर्भित करता है जो सुपरयूजर एक्सेस प्रदान करता है।^[4] यदि घुसपैठिया रूटकिट के साथ सिस्टम पर मानक प्रशासनिक उपकरण को बदल सकता है, तो घुसपैठिया वैध सिस्टम प्रशासक से इन गतिविधियों को छुपाते हुए सिस्टम पर रूट एक्सेस प्राप्त कर सकता है। ये पहली पीढ़ी के रूटकिट ओपन सोर्स ट्रिपवायर जैसे उपकरणों का उपयोग करके पता लगाने के लिए तुच्छ थे, जिन्हें समान जानकारी तक पहुंचने के लिए समझौता नहीं किया गया था।^[5]^[6]लेन डेविस और स्टीवन डैक ने सन माइक्रोसिस्टम्स के SunOS UNIX ऑपरेटिंग सिस्टम के लिए 1990 में सबसे पहला ज्ञात रूटकिट लिखा था।^[7] 1983 में ट्यूरिंग पुरस्कार प्राप्त करने पर दिए गए व्याख्यान में, बेल लैब्स के केन थॉम्पसन, यूनिक्स के रचनाकारों में से एक, ने यूनिक्स वितरण में सी संकलक को नष्ट करने के बारे में सिद्धांत दिया और शोषण पर चर्चा की। संशोधित संकलक यूनिक्स को संकलित करने के प्रयासों का पता लगाएगा लॉग इन आदेश दें और परिवर्तित कोड उत्पन्न करें जो न मात्र उपयोगकर्ता के सही पासवर्ड को स्वीकार करेगा, बल्कि हमलावर को ज्ञात अतिरिक्त बैक डोर का पासवर्ड भी होगा। इसके अतिरिक्त, कंपाइलर कंपाइलर के नए संस्करण को संकलित करने के प्रयासों का पता लगाएगा, और उसी कारनामे को नए कंपाइलर में सम्मिलित करेगा। के लिए स्रोत कोड की समीक्षा लॉग इन कमांड या अपडेटेड कंपाइलर किसी भी द्वेषपूर्ण कोड को प्रकट नहीं करेगा।^[8] यह कारनामा रूटकिट के बराबर था।

व्यक्तिगत कंप्यूटर को लक्षित करने वाला पहला प्रलेखित कंप्यूटर वायरस, जिसे 1986 में खोजा गया था, ने स्वयं को छिपाने के लिए क्लोकिंग तकनीकों का उपयोग किया: ब्रेन वायरस ने प्रारंभिक क्षेत्र को पढ़ने के प्रयासों को रोका, और इन्हें डिस्क पर कहीं और पुनर्निर्देशित किया, जहां मूल बूट सेक्टर की प्रति रखी गई थी^[1] समय के साथ, डॉस-वायरस क्लोकिंग विधियां अधिक परिष्कृत हो गईं। उन्नत तकनीकों में फाइलों में अनधिकृत संशोधनों को छिपाने के लिए लो-लेवल डिस्क INT 13H BIOS रुकावट डालना कॉल को हुक करना सम्मलित है।^[1]

विंडोज एनटी ऑपरेटिंग सिस्टम के लिए पहला द्वेषपूर्ण रूटकिट 1999 में दिखाई दिया: एनटीआरओटकिट नामक ट्रोजन जिसे ग्रेग होगलंड द्वारा बनाया गया था।^[9]इसके बाद 2003 में हैकर डिफेंडर द्वारा किया गया।^[1]पहला रूटकिट लक्ष्यीकरण macOS 2009 में सामने आया,^[10] जबकि स्टक्सनेट वर्म निर्देशयोग्य तर्क नियंत्रक्स (पीएलसी) को लक्षित करने वाला पहला था।^[11]

सोनी बीएमजी कॉपी प्रोटेक्शन रूटकिट स्कैंडल

File:RootkitRevealer.png

रूटकिट रिवीलर का स्क्रीनशॉट, विस्तारित कॉपी सुरक्षा रूटकिट द्वारा छिपी हुई फाइलों को दिखा रहा है

2005 में, Sony BMG ने कॉपी सुरक्षा और डिजिटल अधिकार प्रबंधन सॉफ़्टवेयर के साथ कॉम्पैक्ट डिस्क प्रकाशित की, जिसे विस्तारित कॉपी सुरक्षा कहा जाता है, जिसे सॉफ़्टवेयर कंपनी फ़र्स्ट 4 इंटरनेट द्वारा बनाया गया है। सॉफ्टवेयर में म्यूजिक प्लेयर सम्मलित था परंतु चुपचाप रूटकिट स्थापित किया गया था जो सीडी तक पहुंचने के लिए उपयोगकर्ता की क्षमता को सीमित करता था।^[12] सॉफ्टवेयर इंजीनियर मार्क रोसिनोविच, जिन्होंने रूटकिट डिटेक्शन टूल रूटकिटरिवेलर बनाया था, ने अपने कंप्यूटर पर रूटकिट की खोज की।^[1]आगामी घोटाले ने रूटकिट्स के बारे में जनता की जागरूकता बढ़ा दी।^[13] स्वयं को छिपाने के लिए, रूटकिट उपयोगकर्ता को $sys$ से शुरू होने वाली किसी भी फ़ाइल से छुपाता है। रोसिनोविच की रिपोर्ट के तुरंत बाद, मैलवेयर सामने आया जिसने प्रभावित सिस्टम की भेद्यता का लाभ उठाया।^[1]बीबीसी के विश्लेषक ने इसे जनसंपर्क दुःस्वप्न कहा।^[14] सोनी बीएमजी ने रूटकिट को अनइंस्टॉलर करने के लिए पैच जारी किया, परंतु इसने उपयोगकर्ताओं को और भी गंभीर भेद्यता के लिए उजागर किया।^[15] कंपनी ने अंततः सीडी को वापस बुला लिया। संयुक्त राज्य अमेरिका में, सोनी बीएमजी के खिलाफ क्लास-एक्शन मुकदमा लगाया था।^[16]

ग्रीक वायरटैपिंग मामला 2004–05

ग्रीक वायरटैपिंग मामला 2004–05, जिसे ग्रीक वाटरगेट भी कहा जाता है,^[17] वोडाफोन यूनान नेटवर्क पर 100 से अधिक चल दूरभाष की अवैध टेलीफोन टैपिंग सम्मलित थी, जो ज्यादातर ग्रीस सरकार के सदस्यों और शीर्ष-श्रेणी के सिविल सेवकों के थे। उन्होंने अगस्त 2004 की प्रारंभ के पास शुरू हुए और अपराधियों की पहचान का पता लगाए बिना मार्च 2005 में हटा दिए गए। घुसपैठियों ने एरिक्सन के एक्स टेलीफोन एक्सचेंज को निशाना बनाते हुए रूटकिट स्थापित किया। IEEE स्पेक्ट्रम के अनुसार, यह पहली बार था जब किसी विशेष प्रयोजन प्रणाली पर रूटकिट देखा गया था, इस मामले में एरिक्सन टेलीफोन स्विच।^[18] रूटकिट को एक्सचेंज की मेमोरी को पैच करने के लिए डिज़ाइन किया गया था जब यह चल रहा था, ऑडिट लॉग को अक्षम करते हुए वायरटैपिंग को सक्षम करें, सक्रिय प्रक्रियाओं और सक्रिय डेटा ब्लॉक को सूचीबद्ध करने वाले कमांड को पैच करें और डेटा ब्लॉक अंततः, सत्यापन कमांड को संशोधित करें। बैकडोर ने ऑपरेटर को स्य्सएडमिन स्थिति के साथ एक्सचेंज के लेनदेन लॉग, अलार्म और निगरानी क्षमता से संबंधित एक्सेस कमांड को निष्क्रिय करने की अनुमति दी।^[18]घुसपैठियों द्वारा दोषपूर्ण अद्यतन स्थापित करने के बाद रूटकिट की खोज की गई, जिसके कारण एसएमएस पाठ वितरित नहीं हो पाए, जिससे स्वचालित विफलता रिपोर्ट उत्पन्न हुई। एरिक्सन इंजीनियरों को गलती की जांच करने के लिए बुलाया गया और रूटकिट और अवैध निगरानी सॉफ्टवेयर के साथ निगरानी किए जा रहे फोन नंबरों की सूची वाले छिपे हुए डेटा ब्लॉक की खोज की।

उपयोग

आधुनिक रूटकिट पहुँच को उन्नत नहीं करते हैं,^[4] बल्कि चोरी छुपे क्षमताओं को जोड़कर और सॉफ़्टवेयर पेलोड को अनभिज्ञेय बनाने के लिए उपयोग किया जाता है।^[9] अधिकांश रूटकिट को मालवेयर के रूप में वर्गीकृत किया जाता है, क्योंकि जिन पेलोड के साथ उन्हें बंडल किया जाता है वे द्वेषपूर्ण होते हैं। उदाहरण के लिए, पेलोड उपयोगकर्ता के पासवर्ड, क्रेडिट कार्ड की जानकारी, कंप्यूटिंग संसाधनों को गुप्त रूप से चुरा सकता है या अन्य अनधिकृत गतिविधियों का संचालन कर सकता है। रूटकिट की छोटी संख्या उनके उपयोगकर्ताओं द्वारा उपयोगिता अनुप्रयोगों के रूप में मानी जा सकती है: उदाहरण के लिए, रूटकिट सीडी रॉम-इम्यूलेशन ड्राइवर को लंबा कर सकता है, वीडियो गेम उपयोगकर्ताओं को एंटी-पाइरेसी उपायों को हराने की अनुमति देना, जिसके लिए मूल स्थापना मीडिया को भौतिक ऑप्टिकल ड्राइव में सम्मिलित करने की आवश्यकता होती है ताकि यह सत्यापित किया जा सके कि सॉफ़्टवेयर वैध रूप से खरीदा गया था।

रूटकिट्स और उनके पेलोड के कई उपयोग हैं:

एक हमलावर को बैक डोर के माध्यम से पूर्ण पहुंच प्रदान करें,अनधिकृत पहुंच की अनुमति दें, उदाहरण के लिए, दस्तावेज़ों को चुराना या गलत करना। इसे पूरा करने के तरीकों में से लॉगिन तंत्र को हटाना है, जैसे कि यूनिक्स जैसी प्रणालियों पर / बिन / लॉगिन प्रोग्राम या विंडोज़ पर ग्राफिकल पहचान और प्रमाणीकरण है। प्रतिस्थापन सामान्य रूप से कार्य करता प्रतीत होता है, परंतु गुप्त लॉगिन संयोजन को भी स्वीकार करता है जो हमलावर को मानक प्रमाणीकरण और प्राधिकरण तंत्र को दरकिनार करते हुए प्रशासनिक विशेषाधिकारों के साथ सिस्टम तक सीधी पहुंच की अनुमति देता है।
अन्य मैलवेयर, विशेष रूप से पासवर्ड-चोरी करने वाले कीस्ट्रोक लॉगिंग और कंप्यूटर वायरस है।^[19]
अन्य कंप्यूटरों पर हमलों के लिए समझौता मशीन को ज़ोंबी कंप्यूटर के रूप में उपयुक्त करें। (हमला हमलावर के सिस्टम के अतिरिक्त समझौता किए गए सिस्टम या नेटवर्क से उत्पन्न होता है।) ज़ोंबी कंप्यूटर सामान्यतः बड़े बॉटनेट्स के सदस्य होते हैं जो अन्य चीजों के साथ-डिनायल-ऑफ-सर्विस हमलों को लॉन्च कर सकते हैं, ईमेल स्पैम वितरित करें, और क्लिक धोखाधड़ी करें।^[20]

कुछ उदाहरणों में, रूटकिट वांछित कार्यक्षमता प्रदान करता है, और कंप्यूटर उपयोगकर्ता की ओर से अभिप्रायपूर्वक स्थापित किया जा सकता है:

हमलों का पता लगाएं, उदाहरण के लिए, हनीपोट में।^[21]
एमुलेशन सॉफ्टवेयर और सुरक्षा सॉफ्टवेयर को बेहतर बनाएं।^[22] एल्कोहल 120% और डेमोन टूल्स गैर-विरोधी रूटकिट के व्यावसायिक उदाहरण हैं जिनका उपयोग SafeDisc और SecuROM जैसे कॉपी-प्रोटेक्शन मैकेनिज्म को हराने के लिए किया जाता है।^[23] कैसपर्सकी एंटी-वायरस स्वयं को द्वेषपूर्ण कार्यों से बचाने के लिए रूटकिट जैसी तकनीकों का भी उपयोग करता है। यह सिस्टम गतिविधि को बाधित करने के लिए अपने स्वयं के डिवाइस ड्राइवर को लोड करता है, और फिर अन्य प्रक्रियाओं को स्वयं को नुकसान पहुँचाने से रोकता है। इसकी प्रक्रियाएँ छिपी नहीं हैं, परंतु मानक विधियों द्वारा समाप्त नहीं की जा सकती हैं।
एंटी-थेफ्ट प्रोटेक्शन: लैपटॉप में BIOS-आधारित रूटकिट सॉफ्टवेयर हो सकता है जो समय-समय पर केंद्रीय प्राधिकरण को रिपोर्ट करेगा, जिससे लैपटॉप की निगरानी की जा सकेगी, चोरी होने की स्थिति में सूचना को अक्षम या मिटा दिया जा सकेगा।^[24]
माइक्रोसॉफ्ट उत्पाद सक्रियण को दरकिनार करना^[25]

प्रकार

रूटकिट कम से कम 69 प्रकार के रूटकिट हैं, फ़र्मवेयर में निम्नतम स्तर (उच्चतम विशेषाधिकारों के साथ) से लेकर कर्नेल में संचालित होने वाले कम से कम विशेषाधिकार प्राप्त उपयोगकर्ता-आधारित वेरिएंट तक। इनमें से हाइब्रिड संयोजन फैले हुए हो सकते हैं, उदाहरण के लिए, उपयोगकर्ता मोड और कर्नेल मोड।^[26]

उपयोगकर्ता मोड

File:CPU ring scheme.svg

रिंग -1 नहीं दिखाया गया है)

उपयोक्ता-मोड रूटकिट रिंग में चलते हैं, अन्य अनुप्रयोगों के साथ-साथ निम्न-स्तरीय सिस्टम प्रक्रियाओं के अतिरिक्त उपयोगकर्ता के रूप में अन्य अनुप्रयोगों के साथ, रिंग 3 में चलते हैं।^[27]एप्लिकेशन प्रोग्रामिंग इंटरफेस (एपीआई) के मानक व्यवहार को रोकने और संशोधित करने के लिए उनके पास कई संभावित इंस्टॉलेशन वैक्टर हैं। कुछ अन्य प्रक्रियाओं में गतिशील लिंकर लाइब्रेरी (जैसे विंडोज़ पर डायनेमिक-लिंक लाइब्रेरी .DLL फ़ाइल, या macOS पर .dylib फ़ाइल ) इंजेक्ट करते हैं, और इस प्रकार किसी भी लक्षित प्रक्रिया के अंदर इसे धोखा देने के लिए निष्पादित करने में सक्षम हैं; अन्य पर्याप्त विशेषाधिकारों के साथ लक्ष्य अनुप्रयोग की स्मृति को अधिलेखित कर देते हैं इनमें इंजेक्शन तंत्र में सम्मलित हैं:^[27]

विक्रेता द्वारा आपूर्ति किए गए एप्लिकेशन एक्सटेंशन का उपयोग। उदाहरण के लिए, विंडोज़ एक्सप्लोरर में सार्वजनिक इंटरफेस हैं जो तीसरे पक्ष को इसकी कार्यक्षमता बढ़ाने की अनुमति देते हैं।

संदेश पारित करने का अवरोधन।
डिबगर्स।
भेद्यता का शोषण ।
... चूंकि उपयोगकर्ता मोड एप्लिकेशन सभी अपने स्वयं के मेमोरी स्पेस में चलते हैं, रूटकिट को प्रत्येक चल रहे एप्लिकेशन के मेमोरी स्पेस में इस पैचिंग को करने की आवश्यकता होती है। इसके अलावा, रूटकिट को किसी भी नए एप्लिकेशन के लिए सिस्टम की निगरानी करने की आवश्यकता होती है जो पूरी तरह से निष्पादित होने से पहले उन प्रोग्रामों की मेमोरी स्पेस को निष्पादित और पैच करता है।
— विंडोज रूटकिट अवलोकन, Symantec^[4]
सामान्यतः उपयोग किए जाने वाले एपीआई के फंक्शन हुकिंग या पैचिंग, उदाहरण के लिए, फाइल सिस्टम पर चलने वाली प्रक्रिया या फाइल को छिपाने के लिए।^[28]

कर्नेल मोड

कर्नेल-मोड रूटकिट उच्चतम ऑपरेटिंग सिस्टम विशेषाधिकारों (रिंग) के साथ कोड जोड़कर या कर्नेल (कंप्यूटर विज्ञान) और संबंधित डिवाइस ड्राइवर दोनों सहित कोर ऑपरेटिंग सिस्टम के भागों को बदलकर चलते हैं।^{[citation needed]} अधिकांश ऑपरेटिंग सिस्टम कर्नेल-मोड डिवाइस ड्राइवरों का समर्थन करते हैं, जो ऑपरेटिंग सिस्टम के समान विशेषाधिकारों के साथ निष्पादित होते हैं। जैसे, कई कर्नेल-मोड रूटकिट डिवाइस ड्राइवर या लोड करने योग्य मॉड्यूल के रूप में विकसित किए जाते हैं, जैसे लिनक्स में मॉड्यूल (लिनक्स) या माइक्रोसॉफ़्ट विंडोज़ में डिवाइस ड्राइवर। रूटकिट के इस वर्ग के पास अप्रतिबंधित सुरक्षा पहुंच है, परंतु लिखना अधिक कठिन है।^[29]जटिलता बग को सामान्य बनाती है, और कर्नेल स्तर पर संचालन करने वाले कोड में कोई भी बग सिस्टम स्थिरता को गंभीर रूप से प्रभावित कर सकता है, जिससे रूटकिट की खोज हो सकती है।^[29]पहले व्यापक रूप से ज्ञात कर्नेल रूटकिट्स में से को विंडोज एनटी 4.0 के लिए विकसित किया गया था और 1999 में ग्रेग होगलंड द्वारा फ्रैक पत्रिका में जारी किया गया था।^[30]^[31] कर्नेल रूटकिट्स का पता लगाना और हटाना विशेष रूप से कठिन हो सकता है क्योंकि वे उसी रिंग (कंप्यूटर सुरक्षा) पर ऑपरेटिंग सिस्टम के रूप में काम करते हैं, और इस प्रकार सबसे भरोसेमंद ऑपरेटिंग सिस्टम संचालन को बाधित या उलटने में सक्षम होते हैं। कोई भी सॉफ़्टवेयर, जैसे एंटीवायरस सॉफ्टवेयर, समझौता किए गए सिस्टम पर चल रहा है, समान रूप से असुरक्षित है।^[32] ऐसी स्थिति में व्यवस्था के किसी भी अंग पर विश्वास नहीं किया जा सकता।

एक रूटकिट डायरेक्ट कर्नेल ऑब्जेक्ट मैनिपुलेशन (डीकेओएम) नामक विधि का उपयोग करके विंडोज कर्नेल में डेटा संरचनाओं को संशोधित कर सकता है।^[33] इस विधि का उपयोग प्रक्रियाओं को छिपाने के लिए किया जा सकता है। कर्नेल मोड रूटकिट सिस्टम सर्विस डिस्क्रिप्टर टेबल (एसएसडीटी) को भी हुक कर सकता है, या स्वयं को छिपाने के लिए उपयोगकर्ता मोड और कर्नेल मोड के बीच गेट्स को संशोधित कर सकता है।^[4]इसी प्रकार लिनक्स ऑपरेटिंग सिस्टम के लिए, रूटकिट कर्नेल कार्यक्षमता को हटाने के लिए सिस्टम कॉल टेबल को संशोधित कर सकता है।^[34]^[35] यह सामान्य है कि रूटकिट छिपी हुई, एन्क्रिप्टेड फाइल सिस्टम बनाता है जिसमें यह अन्य मैलवेयर या संक्रमित फाइलों की मूल प्रतियों को छुपा सकता है।^[36] ऑपरेटिंग सिस्टम कर्नेल-मोड रूटकिट्स के खतरे का मुकाबला करने के लिए विकसित हो रहे हैं। उदाहरण के लिए, माइक्रोसॉफ्ट विंडोज के 64-बिट संस्करण अब सभी कर्नेल-स्तरीय ड्राइवरों के अनिवार्य हस्ताक्षर को लागू करते हैं जिससे अविश्वसनीय कोड को सिस्टम में उच्चतम विशेषाधिकारों के साथ निष्पादित करना अधिक कठिन हो सके।^[37]

बूटकिट्स

कर्नेल-मोड रूटकिट वेरिएंट जिसे बूटकिट कहा जाता है, मास्टर बूट दस्तावेज़ (एमबीआर), वॉल्यूम बूट रिकॉर्ड (वीबीआर), या बूट सेक्टर जैसे स्टार्टअप कोड को संक्रमित कर सकता है, और इस तरह पूर्ण डिस्क एन्क्रिप्शन सिस्टम पर हमला करने के लिए प्रयुक्त किया जा सकता है।^[38] डिस्क एन्क्रिप्शन पर इस तरह के हमले का उदाहरण दुष्ट नौकरानी का हमला है, जिसमें हमलावर उपेक्षित कंप्यूटर पर बूटकिट स्थापित करता है। परिकल्पित परिदृश्य होटल के उस कमरे में घुसने वाली नौकरानी है जहाँ पीड़ितों ने अपना हार्डवेयर छोड़ा था।^[39] बूटकिट उनके नियंत्रण में वैध बूटिंग को बदल देता है। सामान्यतः मैलवेयर लोडर सुरक्षित मोड में संक्रमण के माध्यम से बना रहता है जब कर्नेल लोड हो जाता है, और इस प्रकार कर्नेल को नष्ट करने में सक्षम होता है।^[40]^[41]^[42] उदाहरण के लिए, स्टोन्ड बूटकिट एन्क्रिप्शन कुंजी और पासवर्ड को इंटरसेप्ट करने के लिए समझौता बूटिंग का उपयोग करके सिस्टम को उलट देता है।^[43]^{[self-published source?]} 2010 में, एल्यूरॉन रूटकिट ने मास्टर बूट दस्तावेज़ को संशोधित करके विंडोज 7 में 64-बिट कर्नेल-मोड ड्राइवर साइन इन करने की आवश्यकता को सफलतापूर्वक हटा दिया है।^[44] यद्यपि उपयोगकर्ता कुछ ऐसा करने के अर्थ में मैलवेयर नहीं है जो उपयोगकर्ता नहीं चाहता है, कुछ विस्टा लोडर या विंडोज लोडर सॉफ़्टवेयर रैम-कैश संस्करण में उन्नत कॉन्फ़िगरेशन और पावर इंटरफेस एसएलआईसी (सिस्टम लाइसेंस प्राप्त आंतरिक कोड) तालिका को इंजेक्ट करके समान विधि से काम करते हैं। माइक्रोसॉफ्टउत्पाद सक्रियण को विफल करने के लिए बूट के दौरान BIOS का।^{[citation needed]} हमले के इस वेक्टर को विंडोज 8 के (गैर-सर्वर) संस्करणों में बेकार कर दिया गया था, जो प्रत्येक सिस्टम के लिए अद्वितीय, मशीन-विशिष्ट कुंजी का उपयोग करते हैं, जिसका उपयोग मात्र उस मशीन द्वारा किया जा सकता है।^[45] कई एंटीवायरस कंपनियां बूटकिट्स को हटाने के लिए मुफ्त उपयोगिताओं और प्रोग्राम प्रदान करती हैं।

सूत्र स्तर

अवधारणा के प्रमाण के रूप में शिक्षा जगत में रूटकिट्स को टाइप II हाइपरविजर के रूप में बनाया गया है। इंटेल वी.टी या एएमडी-वी जैसे हार्डवेयर वर्चुअलाइजेशन सुविधाओं का दोहन करके, इस प्रकार का रूटकिट रिंग -1 में चलता है और लक्ष्य ऑपरेटिंग सिस्टम को आभासी मशीन के रूप में होस्ट करता है, जिससे रूटकिट को मूल ऑपरेटिंग सिस्टम द्वारा किए गए हार्डवेयर कॉल को इंटरसेप्ट करने में सक्षम बनाता है।^[6] सामान्य हाइपरविजर के विपरीत, उन्हें ऑपरेटिंग सिस्टम से पहले लोड नहीं करना पड़ता है, परंतु वर्चुअल मशीन में इसे बढ़ावा देने से पहले ऑपरेटिंग सिस्टम में लोड कर सकते हैं।^[6]एक हाइपरविजर रूटकिट को लक्ष्य को हटाने के लिए लक्ष्य के कर्नेल में कोई संशोधन नहीं करना पड़ता है; चूंकि, इसका मतलब यह नहीं है कि अतिथि ऑपरेटिंग सिस्टम द्वारा इसका पता नहीं लगाया जा सकता है। उदाहरण के लिए, केंद्रीय प्रसंस्करण इकाई के निर्देशों में समय के अंतर का पता लगाया जा सकता है।^[6]माइक्रोसॉफ्टऔर मिशिगन विश्वविद्यालय के शोधकर्ताओं द्वारा संयुक्त रूप से विकसित सबवर्ट प्रयोगशाला रूटकिट, वर्चुअल-मशीन-आधारित रूटकिट (VMBR) का अकादमिक उदाहरण है,^[46]जबकि ब्लू पिल सॉफ्टवेयर दूसरा है। 2009 में, माइक्रोसॉफ्ट और उत्तरी कैरोलिना स्टेट यूनिवर्सिटी के शोधकर्ताओं ने हुकसेफ नामक हाइपरवाइजर-लेयर एंटी-रूटकिट का प्रदर्शन किया, जो कर्नेल-मोड रूटकिट्स के खिलाफ सामान्य सुरक्षा प्रदान करता है।^[47] विंडोज 10 ने डिवाइस गार्ड नामक नई सुविधा प्रस्तुत की, जो रूटकिट-प्रकार के मैलवेयर के खिलाफ ऑपरेटिंग सिस्टम की स्वतंत्र बाहरी सुरक्षा प्रदान करने के लिए वर्चुअलाइजेशन का लाभ उठाती है।^[48]

फर्मवेयर और हार्डवेयर

एक फर्मवेयर रूटकिट डिवाइस या प्लेटफॉर्म फर्मवेयर का उपयोग हार्डवेयर में स्थायी मैलवेयर छवि बनाने के लिए करता है, जैसे राउटर , नेटवर्क इंटरफ़ेस नियंत्रक,^[49] हार्ड डिस्क ड्राइव, या सिस्टम BIOS।^[27]^[50] रूटकिट फर्मवेयर में छुपा रहता है, क्योंकि कोड अखंडता के लिए फर्मवेयर का सामान्यतः निरीक्षण नहीं किया जाता है। जॉन हेसमैन ने उन्नत कॉन्फ़िगरेशन और पावर इंटरफ़ेस फ़र्मवेयर रूटीन दोनों में फ़र्मवेयर रूटकिट की व्यवहार्यता का प्रदर्शन किया^[51] और पारंपरिक पीसीआई विस्तार कार्ड में रीड रीड ऑनली मैमोरी^[52] अक्टूबर 2008 में, अपराधियों ने यूरोपीय क्रेडिट-कार्ड-रीडिंग मशीनों को स्थापित करने से पहले उनके साथ छेड़छाड़ की। उपकरणों ने मोबाइल फोन नेटवर्क के माध्यम से क्रेडिट कार्ड के विवरण को इंटरसेप्ट किया और प्रसारित किया।^[53] मार्च 2009 में, शोधकर्ताओं अल्फ्रेडो ओर्टेगा और अनिबल सैको ने BIOS-स्तरीय विंडोज रूटकिट का विवरण प्रकाशित किया जो डिस्क प्रतिस्थापन और ऑपरेटिंग सिस्टम री-इंस्टॉलेशन से बचने में सक्षम था।^[54]^[55]^[56] कुछ महीनों बाद उन्हें पता चला कि कुछ लैपटॉप वैध रूटकिट के साथ बेचे जाते हैं, जिसे लैपटॉप के लिए एब्सोल्यूट कंप्यूट्रेस या एब्सोल्यूट लोजैक के रूप में जाना जाता है, जो कई BIOS छवियों में पहले से इंस्टॉल होता है। यह एंटी-लैपटॉप चोरी प्रौद्योगिकी प्रणाली है जिसे शोधकर्ताओं ने दिखाया है कि इसे द्वेषपूर्ण उद्देश्यों में बदल दिया जा सकता है।^[24]

इंटेल सक्रिय प्रबंधन प्रौद्योगिकी, इंटेल vPro प्रबंधन का हिस्सा है, आउट-ऑफ़-बैंड प्रबंधन लागू करता है, प्रशासकों को दूरस्थ प्रशासन, दूरस्थ अवसंरचना प्रबंधन, और होस्ट प्रोसेसर या BIOS की भागीदारी के बिना पीसी के रिमोट डेस्कटॉप सॉफ्टवेयर देता है, तब भी जब सिस्टम बंद है। रिमोट प्रशासन में रिमोट पावर-अप और पावर-डाउन, रिमोट रीसेट, रीडायरेक्ट बूट, कंसोल रीडायरेक्शन, BIOS सेटिंग्स के लिए प्री-बूट एक्सेस, इनबाउंड और आउटबाउंड नेटवर्क ट्रैफिक के लिए प्रोग्राम करने योग्य फ़िल्टरिंग, एजेंट उपस्थिति जांच, आउट-ऑफ-बैंड नीति-आधारित सम्मलित हैं। अलर्टिंग, सिस्टम की जानकारी तक पहुंच, जैसे कि हार्डवेयर संपत्ति की जानकारी, लगातार इवेंट लॉग, और अन्य जानकारी जो समर्पित मेमोरी (हार्ड ड्राइव पर नहीं) में संग्रहीत होती है, जहां ओएस के डाउन होने या पीसी के बंद होने पर भी इसे एक्सेस किया जा सकता है। इनमें से कुछ कार्यों के लिए रूटकिट के गहनतम स्तर की आवश्यकता होती है, मुख्य कंप्यूटर के चारों ओर निर्मित दूसरा गैर-हटाने योग्य स्पाई कंप्यूटर। सैंडी ब्रिज और भविष्य के चिपसेट में 3जी के माध्यम से खोए या चोरी हुए पीसी को दूरस्थ रूप से खत्म करने और पुनर्स्थापित करने की क्षमता है। चिपसेट में निर्मित हार्डवेयर रूटकिट चोरी हुए कंप्यूटरों को पुनर्प्राप्त करने, डेटा को हटाने, या उन्हें बेकार करने में सहायता कर सकते हैं, परंतु वे प्रबंधन या हैकर्स द्वारा नियंत्रण प्राप्त करने वाले गुप्त जासूसी और पुनर्निर्देशन की गोपनीयता और सुरक्षा चिंताओं को भी प्रस्तुत करते हैं।

स्थापना और क्लोकिंग

रूटकिट्स सिस्टम पर नियंत्रण हासिल करने के लिए कई तरह की तकनीकों का प्रयुक्त करते हैं; रूटकिट का प्रकार अटैक वेक्टर की पसंद को प्रभावित करता है। गुप्त विशेषाधिकार वृद्धि को प्राप्त करने के लिए सबसे आम तकनीक भेद्यता का लाभ उठाती है। अन्य दृष्टिकोण ट्रोजन हॉर्स का उपयोग करना है, कंप्यूटर उपयोगकर्ता को रूटकिट के इंस्टॉलेशन प्रोग्राम को सौम्य मानने के लिए धोखा देना है - इस मामले में, सोशल इंजीनियरिंग (सुरक्षा) उपयोगकर्ता को आश्वस्त करती है कि रूटकिट लाभप्रद है।^[29] यदि कम से कम विशेषाधिकार का सिद्धांत लागू नहीं किया जाता है, तो स्थापना कार्य आसान हो जाता है, क्योंकि रूटकिट को तब स्पष्ट रूप से उन्नत (व्यवस्थापक-स्तर) विशेषाधिकारों का अनुरोध नहीं करना पड़ता है। रूटकिट के अन्य वर्ग मात्र लक्ष्य प्रणाली तक भौतिक पहुंच वाले किसी व्यक्ति द्वारा स्थापित किए जा सकते हैं। कुछ रूटकिट अभिप्रायपूर्वक सिस्टम के मालिक या मालिक द्वारा अधिकृत किसी व्यक्ति द्वारा भी स्थापित किए जा सकते हैं, उदा। कर्मचारी निगरानी के प्रयोजन के लिए, ऐसी विध्वंसक तकनीकों को अनावश्यक रूप से प्रतिपादित करना।^[57] वितरण के लिए विशिष्ट पे-पर-इंस्टॉल (पीपीआई) क्षतिपूर्ति पद्धति के साथ कुछ द्वेषपूर्ण रूटकिट इंस्टॉलेशन व्यावसायिक रूप से संचालित होते हैं।^[58]^[59] बार इंस्टॉल हो जाने के बाद, रूटकिट निदान, स्कैनिंग और निगरानी के लिए उपयोग किए जाने वाले मानक ऑपरेटिंग सिस्टम कंप्यूटर सुरक्षा उपकरण और अप्लिकेशन प्रोग्रामिंग अंतरफलक (एपीआई) के विचलन या चोरी के माध्यम से मेजबान सिस्टम के अंतर्गत अपनी उपस्थिति को अस्पष्ट करने के लिए सक्रिय उपाय करता है।^[60] रूटकिट्स रिंग (कंप्यूटर सुरक्षा) के व्यवहार को अन्य प्रक्रियाओं में लोडिंग कोड, डिवाइस ड्राइवर की स्थापना या संशोधन, या लोड करने योग्य कर्नेल मॉड्यूल के माध्यम से संशोधित करके इसे प्राप्त करते हैं। अस्पष्टीकरण तकनीकों में सिस्टम-निगरानी तंत्र से चल रही प्रक्रियाओं को छुपाना और सिस्टम फ़ाइलों और अन्य कॉन्फ़िगरेशन डेटा को छुपाना सम्मलित है।^[61] किसी हमले के साक्ष्य को छिपाने के प्रयास में, रूटकिट के लिए ऑपरेटिंग सिस्टम की इवेंट लॉगिंग क्षमता को अक्षम करना असामान्य नहीं है। रूटकिट्स, सिद्धांत रूप में, किसी भी ऑपरेटिंग सिस्टम की गतिविधियों को उलट सकते हैं।^[62]संपूर्ण रूटकिट को संपूर्ण अपराध के समान माना जा सकता है: ऐसा अपराध जिसे किसी को पता ही नहीं चलता है। रूटकिट्स सामान्यतः रिंग 0 (कर्नेल-मोड) में स्थापित करने के अतिरिक्त एंटीवायरस सॉफ़्टवेयर द्वारा पता लगाने और सफाई के खिलाफ अपने अस्तित्व को सुनिश्चित करने के लिए कई उपाय भी करते हैं, जहां उनके पास सिस्टम तक पूरी पहुंच होती है। इनमें बहुरूपी कोड सम्मलित हैं (बदलना जिससे उनके हस्ताक्षर का पता लगाना कठिन हो), चुपके तकनीक, पुनर्जनन, एंटी-मैलवेयर सॉफ़्टवेयर को अक्षम या बंद करना,^[63] और आभासी मशीनों पर स्थापित नहीं करना जहाँ शोधकर्ताओं के लिए उन्हें खोजना और उनका विश्लेषण करना आसान हो सकता है।

जांच

रूटकिट डिटेक्शन के साथ मूलभूत समस्या यह है कि यदि ऑपरेटिंग सिस्टम को विकृत कर दिया गया है, विशेष रूप से कर्नेल-स्तरीय रूटकिट द्वारा, तो इस पर स्वयं या इसके घटकों में अनधिकृत संशोधन खोजने के लिए भरोसा नहीं किया जा सकता है।^[62] चल रही प्रक्रियाओं की सूची, या निर्देशिका में फ़ाइलों की सूची का अनुरोध करने जैसी कार्रवाइयों पर अपेक्षा के अनुरूप व्यवहार करने के लिए भरोसा नहीं किया जा सकता है। दूसरे शब्दों में, रूटकिट डिटेक्टर जो संक्रमित सिस्टम पर चलते समय काम करते हैं, मात्र रूटकिट के खिलाफ प्रभावी होते हैं जिनके छलावरण में कुछ दोष होते हैं, या जो कर्नेल में डिटेक्शन सॉफ़्टवेयर की तुलना में कम उपयोगकर्ता-मोड विशेषाधिकारों के साथ चलते हैं।^[29] कंप्यूटर वायरस की तरह, रूटकिट का पता लगाना और हटाना इस संघर्ष के दोनों पक्षों के बीच सतत संघर्ष है।^[62]डिटेक्शन कई अलग-अलग दृष्टिकोण अपना सकता है, जिसमें वायरस सिग्नेचर (जैसे एंटीवायरस सॉफ़्टवेयर), इंटीग्रिटी चेकिंग (जैसे अंगुली का हस्ताक्षर), अंतर-आधारित डिटेक्शन (अपेक्षित बनाम वास्तविक परिणामों की तुलना), और व्यवहारिक डिटेक्शन (जैसे मॉनिटरिंग CPU उपयोग) सम्मलित हैं या नेटवर्क ट्रैफ़िक)।

कर्नेल-मोड रूटकिट्स के लिए, पता लगाना काफी अधिक जटिल है, हुकिंग की तलाश के लिए सिस्टम कॉल टेबल की सावधानीपूर्वक जांच की आवश्यकता होती है जहां मैलवेयर सिस्टम व्यवहार को नष्ट कर सकता है,^[64] साथ ही छिपी हुई प्रक्रियाओं को इंगित करने वाले पैटर्न के लिए मेमोरी की फोरेंसिक स्कैनिंग। यूनिक्स रूटकिट डिटेक्शन जिसमें ज़ेप्पू सम्मलित हैं,^[65] chkrootkit, rkhunter और OSSEC। विंडोज के लिए, डिटेक्शन टूल में माइक्रोसॉफ्ट सिसइंटर्नल्स रूटकिट रिवीलर सम्मलित है,^[66] अवास्ट सॉफ्टवेयर,^[67] सोफोस एंटी-रूटकिट,^[68] एफ-सुरक्षित,^[69] रैडिक्स,^[70] जीएमईआर,^[71] और विंडोज़स्कोप। कोई भी रूटकिट डिटेक्टर जो प्रभावी सिद्ध होता है, अंततः अपनी स्वयं की अप्रभाविता में योगदान देता है, क्योंकि मैलवेयर लेखक अच्छी तरह से उपयोग किए जाने वाले टूल द्वारा पता लगाने से बचने के लिए अपने कोड को अनुकूलित और परीक्षण करते हैं।^{[Notes 1]} संदिग्ध ऑपरेटिंग सिस्टम चालू नहीं होने पर भंडारण की जांच करके जांच सॉफ़्टवेयर द्वारा मान्यता प्राप्त रूटकिट को याद नहीं किया जा सकता है, क्योंकि रूटकिट सक्रिय नहीं है और संदिग्ध व्यवहार को दबा दिया गया है; रूटकिट ऑपरेशनल के साथ चलने वाला पारंपरिक एंटी-मैलवेयर सॉफ़्टवेयर विफल हो सकता है यदि रूटकिट स्वयं को प्रभावी ढंग से छुपाता है।

वैकल्पिक विश्वसनीय माध्यम

ऑपरेटिंग-सिस्टम-लेवल रूटकिट डिटेक्शन के लिए सबसे अच्छा और सबसे विश्वसनीय तरीका संक्रमण के संदेह वाले कंप्यूटर को बंद करना है, और फिर वैकल्पिक विश्वसनीय माध्यम (जैसे बचाव सीडी-रोम या यूएसबी फ्लैश ड्राइव) से बूट करके इसके कंप्यूटर डेटा भंडारण की जांच करना है।^[72] तकनीक प्रभावी है क्योंकि रूटकिट सक्रिय रूप से अपनी उपस्थिति को छुपा नहीं सकता है यदि यह नहीं चल रहा है।

व्यवहार-आधारित

रूटकिट का पता लगाने के लिए व्यवहार-आधारित दृष्टिकोण रूटकिट-जैसे व्यवहार की तलाश करके रूटकिट की उपस्थिति का अनुमान लगाने का प्रयास करता है। उदाहरण के लिए, प्रणाली की रूपरेखा (कंप्यूटर प्रोग्रामिंग) द्वारा, एपीआई कॉल के समय और आवृत्ति में अंतर या समग्र सीपीयू उपयोग में अंतर को रूटकिट के लिए जिम्मेदार ठहराया जा सकता है। विधि जटिल है और टाइप I और टाइप II त्रुटियों की उच्च घटना से बाधित है। दोषपूर्ण रूटकिट कभी-कभी सिस्टम में बहुत स्पष्ट परिवर्तन प्रस्तुत कर सकते हैं: सुरक्षा अद्यतन के बाद इसके कोड में डिज़ाइन दोष उजागर होने के बाद एल्यूरॉन रूटकिट ने विंडोज सिस्टम को क्रैश कर दिया।^[73]^[74] पैकेट विश्लेषक, फ़ायरवॉल , या घुसपैठ की रोकथाम प्रणाली से लॉग नेटवर्क वातावरण में रूटकिट व्यवहार का प्रमाण प्रस्तुत कर सकते हैं।^[26]

हस्ताक्षर-आधारित

एंटीवायरस उत्पाद सार्वजनिक परीक्षणों में प्रायः ही कभी सभी वायरस पकड़ते हैं (इस पर निर्भर करता है कि किसका उपयोग किया जाता है और किस हद तक), भले ही सुरक्षा सॉफ़्टवेयर विक्रेता अपने उत्पादों में रूटकिट डिटेक्शन सम्मलित करते हैं। यदि कोई रूटकिट एंटीवायरस स्कैन के दौरान छिपाने का प्रयास करता है, तो स्टील्थ डिटेक्टर नोटिस कर सकता है; यदि रूटकिट सिस्टम से स्वयं को अस्थायी रूप से अनलोड करने का प्रयास करता है, तो सिग्नेचर डिटेक्शन (या फ़िंगरप्रिंटिंग) अभी भी इसे ढूंढ सकता है।^[75] यह संयुक्त दृष्टिकोण हमलावरों को काउंटरटैक तंत्र, या रेट्रो रूटीन लागू करने के लिए मजबूर करता है, जो एंटीवायरस प्रोग्राम को समाप्त करने का प्रयास करता है। हस्ताक्षर-आधारित पता लगाने के विधि अच्छी तरह से प्रकाशित रूटकिट के खिलाफ प्रभावी हो सकते हैं, परंतु विशेष रूप से तैयार किए गए, कस्टम-रूट रूटकिट के खिलाफ कम।^[62]

अंतर-आधारित

एक अन्य विधि जो रूटकिट का पता लगा सकती है, विश्वसनीय कच्चे डेटा की तुलना एपीआई द्वारा लौटाई गई दूषित सामग्री से करती है। उदाहरण के लिए, डिस्क पर मौजूद बायनेरिज़ की तुलना ऑपरेटिंग मेमोरी के अंतर्गत उनकी प्रतियों से की जा सकती है (कुछ ऑपरेटिंग सिस्टम में, इन-मेमोरी छवि ऑन-डिस्क छवि के समान होनी चाहिए), या फाइल सिस्टम या विंडोज रजिस्ट्री एपीआई से लौटाए गए परिणाम कर सकते हैं अंतर्निहित भौतिक डिस्क पर कच्ची संरचनाओं के विरुद्ध जाँच की जाए^[62]^[76]- चूंकि,पूर्व के मामले में, ऑपरेटिंग सिस्टम तंत्र जैसे मेमोरी रिलोकेशन या शिम द्वारा कुछ वैध अंतर प्रस्तुत किए जा सकते हैं। रूटकिट इस तरह के अंतर-आधारित स्कैनर या वर्चुअल मशीन की उपस्थिति का पता लगा सकता है (बाद में सामान्यतः फोरेंसिक विश्लेषण करने के लिए उपयोग किया जाता है), और इसके व्यवहार को समायोजित कर सकता है जिससे कोई अंतर पता न चल सके। सोनी डीआरएम रूटकिट को खोजने के लिए रसिनोविच के रूटकिट रीवेलर टूल द्वारा अंतर-आधारित पहचान का उपयोग किया गया था।^[1]

अखंडता जांच

Error creating thumbnail:

Rhunter उपयोगिता SHA-1 हैश का उपयोग सिस्टम फ़ाइलों की अखंडता को सत्यापित करने के लिए करती है।

कोड हस्ताक्षर सार्वजनिक-कुंजी अवसंरचना का उपयोग यह जांचने के लिए करता है कि किसी फ़ाइल को उसके प्रकाशक द्वारा डिजिटल हस्ताक्षर होने के बाद से संशोधित किया गया है या नहीं। वैकल्पिक रूप से, सिस्टम स्वामी या व्यवस्थापक स्थापना के समय फ़िंगरप्रिंट की गणना करने के लिए क्रिप्टोग्राफ़िक हैश फ़ंक्शन का उपयोग कर सकता है जो ऑन-डिस्क कोड लाइब्रेरी में बाद में अनधिकृत परिवर्तनों का पता लगाने में सहायता कर सकता है।^[77] चूंकि, अपरिष्कृत योजनाएँ मात्र यह जाँचती हैं कि क्या कोड को स्थापना के समय से संशोधित किया गया है; उस समय से पहले तोड़फोड़ पता लगाने योग्य नहीं है। हर बार सिस्टम में परिवर्तन किए जाने पर फ़िंगरप्रिंट को पुनः स्थापित किया जाना चाहिए: उदाहरण के लिए, सुरक्षा अद्यतन या सर्विस पैक स्थापित करने के बाद। हैश फ़ंक्शन संदेश डाइजेस्ट बनाता है, एल्गोरिदम का उपयोग करके फ़ाइल में प्रत्येक बिट से अपेक्षाकृत कम कोड की गणना की जाती है जो मूल फ़ाइल में छोटे बदलावों के साथ संदेश डाइजेस्ट में बड़े बदलाव बनाता है। संदेश डाइजेस्ट की विश्वसनीय सूची के विरुद्ध नियमित अंतराल पर स्थापित फ़ाइलों के संदेश डाइजेस्ट की पुनर्गणना और तुलना करके, सिस्टम में परिवर्तन का पता लगाया जा सकता है और निगरानी की जा सकती है - जब तक कि मैलवेयर जोड़े जाने से पहले मूल आधार रेखा बनाई गई थी।

अधिक परिष्कृत रूटकिट निरीक्षण के लिए फ़ाइल की असंशोधित प्रति प्रस्तुत करके, या मात्र मेमोरी, पुनर्संरचना रजिस्टरों में कोड संशोधन करके सत्यापन प्रक्रिया को उलटने में सक्षम हैं, जिनकी तुलना बाद में अपेक्षित मूल्यों की सफेद सूची से की जाती है।^[78] कोड जो हैश करता है, तुलना करता है, या संचालन का विस्तार करता है, उसे भी संरक्षित किया जाना चाहिए - इस संदर्भ में, अपरिवर्तनीय रूट-ऑफ-ट्रस्ट की धारणा यह मानती है कि सिस्टम के सुरक्षा गुणों को मापने के लिए सबसे पहले कोड को यह सुनिश्चित करने के लिए स्वयं पर भरोसा करना चाहिए रूटकिट या बूटकिट सिस्टम को उसके सबसे मौलिक स्तर पर समझौता नहीं करता है।^[79]

मेमोरी डंप

अप्रत्यक्ष स्मृति के पूर्ण डंप को मजबूर करने से सक्रिय रूटकिट (या कर्नेल-मोड रूटकिट के मामले में कोर डंप) पर कब्जा हो जाएगा, ऑफ़लाइन फॉरेंसिक विश्लेषण को रूटकिट सक्षम किए बिना परिणामी डंप फ़ाइल के विरुद्ध डीबगर के साथ निष्पादित करने की अनुमति मिलती है। स्वयं को छिपाने के लिए कोई उपाय करें। यह तकनीक अत्यधिक विशिष्ट है, और इसके लिए गैर-सार्वजनिक स्रोत कोड या डीबग प्रतीक तक पहुंच की आवश्यकता हो सकती है। ऑपरेटिंग सिस्टम द्वारा शुरू किए गए मेमोरी डंप का उपयोग हमेशा हाइपरवाइजर-आधारित रूटकिट का पता लगाने के लिए नहीं किया जा सकता है, जो मेमोरी को पढ़ने के लिए निम्नतम-स्तर के प्रयासों को रोकने और हटाने में सक्षम है।^[6]—एक हार्डवेयर डिवाइस, जैसे कि गैर-नकाबपोश व्यवधान को लागू करता है, इस परिदृश्य में मेमोरी को डंप करने की आवश्यकता हो सकती है।^[80]^[81] वर्चुअल मशीनें अंतर्निहित हाइपरविजर से समझौता मशीन की मेमोरी का विश्लेषण करना भी आसान बनाती हैं, इसलिए कुछ रूटकिट इस कारण से वर्चुअल मशीनों को संक्रमित करने से बचेंगे।

हटाना

एक विशिष्ट कंप्यूटर उपयोगकर्ता के लिए रूटकिट को मैन्युअल रूप से हटाना अधिकांशतः बेहद कठिन होता है,^[27] परंतु कई सुरक्षा-सॉफ़्टवेयर विक्रेता स्वचालित रूप से कुछ रूटकिट का पता लगाने और हटाने के लिए उपकरण प्रदान करते हैं, सामान्यतः एंटीवायरस सॉफ़्टवेयर के भाग के रूप में। 2005 तक, माइक्रोसॉफ्टका मासिक विंडोज़ द्वेषपूर्ण सॉफ़्टवेयर निष्कासन उपकरण रूटकिट के कुछ वर्गों का पता लगाने और उन्हें निकालने में सक्षम है।^[82]^[83] साथ ही, विंडोज डिफेंडर ऑफलाइन रूटकिट को हटा सकता है, क्योंकि यह ऑपरेटिंग सिस्टम शुरू होने से पहले विश्वसनीय वातावरण से चलता है।^[84] कुछ एंटीवायरस स्कैनर फाइल सिस्टम एपीआई को बायपास कर सकते हैं, जो रूटकिट द्वारा हेरफेर के लिए असुरक्षित हैं। इसके अतिरिक्त, वे कच्चे फ़ाइल सिस्टम संरचनाओं तक सीधे पहुँचते हैं, और रूटकिट के कारण होने वाले किसी भी अंतर की पहचान करने के लिए सिस्टम एपीआई से परिणामों को मान्य करने के लिए इस जानकारी का उपयोग करते हैं।^{[Notes 2]}^[85]^[86]^[87]^[88] ऐसे विशेषज्ञ हैं जो मानते हैं कि उन्हें हटाने का एकमात्र विश्वसनीय तरीका विश्वसनीय मीडिया से ऑपरेटिंग सिस्टम को पुनः स्थापित करना है।^[89]^[90] ऐसा इसलिए है क्योंकि अविश्वसनीय सिस्टम पर चल रहे एंटीवायरस और मैलवेयर हटाने वाले उपकरण अच्छी तरह से लिखे गए कर्नेल-मोड रूटकिट के विरुद्ध अप्रभावी हो सकते हैं। विश्वसनीय मीडिया से वैकल्पिक ऑपरेटिंग सिस्टम को बूट करने से संक्रमित सिस्टम वॉल्यूम को माउंट किया जा सकता है और संभावित रूप से सुरक्षित रूप से साफ किया जा सकता है और महत्वपूर्ण डेटा को कॉपी किया जा सकता है - या, वैकल्पिक रूप से, फोरेंसिक परीक्षा की जा सकती है।^[26] इस उद्देश्य के लिए विंडोज पीई, रिकवरी कंसोल, विंडोज रिकवरी पर्यावरण, बार्टपीई, या लाइव सीडी जैसे लाइटवेट ऑपरेटिंग सिस्टम का उपयोग किया जा सकता है, जिससे सिस्टम को साफ किया जा सकता है। भले ही रूटकिट का प्रकार और प्रकृति ज्ञात हो, मैनुअल मरम्मत अव्यावहारिक हो सकती है, जबकि ऑपरेटिंग सिस्टम और एप्लिकेशन को पुनः इंस्टॉल करना सुरक्षित, सरल और तेज है।^[89]

बचाव

सिस्टम सख्त रूटकिट के खिलाफ रक्षा की पहली परतों में से का प्रतिनिधित्व करता है, इसे स्थापित करने में सक्षम होने से रोकने के लिए।^[91] सुरक्षा पैच लागू करना, कम से कम विशेषाधिकार के सिद्धांत को लागू करना, हमले की सतह को कम करना और एंटीवायरस सॉफ़्टवेयर स्थापित करना कुछ मानक सुरक्षा सर्वोत्तम अभ्यास हैं जो मैलवेयर के सभी वर्गों के विरुद्ध प्रभावी हैं।^[92] यूईएफआई जैसे नए सुरक्षित बूट विनिर्देशों को बूटकिट के खतरे को संबोधित करने के लिए डिज़ाइन किया गया है, परंतु ये भी असुरक्षित हैं यदि उनके द्वारा प्रदान की जाने वाली सुरक्षा सुविधाओं का उपयोग नहीं किया जाता है।^[50]सर्वर सिस्टम के लिए, इंटेल विश्वसनीय निष्पादन प्रौद्योगिकी (TXT) जैसी तकनीकों का उपयोग करके रिमोट सर्वर प्रमाणन यह सत्यापित करने का तरीका प्रदान करता है कि सर्वर ज्ञात अच्छी स्थिति में रहते हैं। उदाहरण के लिए, माइक्रोसॉफ्ट बिटलॉकर का डेटा-एट-रेस्ट का एन्क्रिप्शन सत्यापित करता है कि सर्वर बूटअप पर ज्ञात अच्छी स्थिति में हैं। प्राइवेटकोर vCage सॉफ्टवेयर प्रस्तुत है जो बूटकिट से बचने के लिए डेटा-इन-यूज (मेमोरी) को सुरक्षित करता है और सर्वर को सत्यापित करके रूटकिट बूटअप पर ज्ञात अच्छी स्थिति में है। प्राइवेटकोर कार्यान्वयन इंटेल TXT के साथ मिलकर काम करता है और संभावित बूटकिट और रूटकिट से बचने के लिए सर्वर सिस्टम इंटरफेस को लॉक कर देता है।

यह भी देखें

कंप्यूटर सुरक्षा सम्मेलन
मेजबान आधारित घुसपैठ का पता लगाने प्रणाली
मैन-इन-द-बीच हमला
द रूटकिट आर्सेनल: सिस्टम के डार्क कॉर्नर में पलायन और चोरी

संदर्भ

↑ ^1.0 ^1.1 ^1.2 ^1.3 ^1.4 ^1.5 ^1.6 ^1.7 "रूटकिट्स, 3 का भाग 1: बढ़ता हुआ खतरा" (PDF). McAfee. 2006-04-17. Archived from the original (PDF) on 2006-08-23.
↑ Evancich, N.; Li, J. (2016-08-23). "6.2.3 Rootkits". In Colbert, Edward J. M.; Kott, Alexander (eds.). एससीएडीए और अन्य औद्योगिक नियंत्रण प्रणालियों की साइबर सुरक्षा. Springer. p. 100. ISBN 9783319321257 – via Google Books.
↑ "रूटकिट क्या है - परिभाषा और व्याख्या". www.kaspersky.com (in English). 2021-04-09. Retrieved 2021-11-13.
↑ ^4.0 ^4.1 ^4.2 ^4.3 "विंडोज रूटकिट अवलोकन" (PDF). Symantec. 2006-03-26. Archived from the original (PDF) on 2010-12-14. Retrieved 2010-08-17.
↑ Sparks, Sherri; Butler, Jamie (2005-08-01). "विंडोज रूटकिट डिटेक्शन के लिए बार उठाना". Phrack. 0xb (x3d).
↑ ^6.0 ^6.1 ^6.2 ^6.3 ^6.4 Myers, Michael; Youndt, Stephen (2007-08-07). हार्डवेयर-असिस्टेड वर्चुअल मशीन (एचवीएम) रूटकिट्स का एक परिचय (Report). Crucial Security. CiteSeerX: 10.1.1.90.8832.
↑ Andrew Hay; Daniel Cid; Rory Bray (2008). OSSEC होस्ट-आधारित घुसपैठ का पता लगाने वाली मार्गदर्शिका. Syngress. p. 276. ISBN 978-1-59749-240-9 – via Google Books.
↑ Thompson, Ken (August 1984). "ट्रस्टिंग ट्रस्ट पर विचार" (PDF). Communications of the ACM. 27 (8): 761. doi:10.1145/358198.358210.
↑ ^9.0 ^9.1 Greg Hoglund; James Butler (2006). रूटकिट्स: विंडोज कर्नेल को सबवर्ट करना. Addison-Wesley. p. 4. ISBN 978-0-321-29431-9 – via Google Books.
↑ Dai Zovi, Dino (2009-07-26). उन्नत मैक ओएस एक्स रूटकिट्स (PDF). Blackhat. Endgame Systems. Retrieved 2010-11-23.
↑ "स्टक्सनेट औद्योगिक नियंत्रण प्रणाली के लिए पहली ज्ञात रूटकिट पेश करता है". Symantec. 2010-08-06. Retrieved 2010-12-04.
↑ "स्पाइवेयर विवरण: XCP.Sony.Rootkit". Computer Associates. 2005-11-05. Archived from the original on 2010-08-18. Retrieved 2010-08-19.
↑ Russinovich, Mark (2005-10-31). "सोनी, रूटकिट्स और डिजिटल राइट्स मैनेजमेंट बहुत दूर चला गया". TechNet Blogs. Microsoft. Retrieved 2010-08-16.
↑ "सोनी की दीर्घकालिक रूटकिट सीडी संकट". BBC News. 2005-11-21. Retrieved 2008-09-15.
↑ Felton, Ed (2005-11-15). "सोनी का वेब-आधारित अनइंस्टालर एक बड़ा सुरक्षा छेद खोलता है; सोनी टू रिकॉल डिस्क".
↑ Knight, Will (2005-11-11). "सोनी बीएमजी ने म्यूजिक सीडी पर क्लोकिंग सॉफ्टवेयर पर मुकदमा दायर किया". New Scientist. Retrieved 2010-11-21.
↑ Kyriakidou, Dina (March 2, 2006). ""ग्रीक वाटरगेट" स्कैंडल राजनीतिक शॉकवेव्स भेजता है". Reuters. Retrieved 2007-11-24.^{[dead link]}
↑ ^18.0 ^18.1 Vassilis Prevelakis; Diomidis Spinellis (July 2007). "एथेंस मामला".
↑ Russinovich, Mark (June 2005). "Unearthing Root Kits". Windows IT Pro. Archived from the original on 2012-09-18. Retrieved 2010-12-16.
↑ Marks, Joseph (July 1, 2021). "साइबर सुरक्षा 202: DOJ का भविष्य हैकर्स को बाधित करने में है, न कि केवल उन पर अभियोग लगाने में". The Washington Post. Retrieved July 24, 2021.
↑ Steve Hanna (September 2007). "हनीपोट-आधारित मालवेयर डिटेक्शन के लिए रूटकिट प्रौद्योगिकी का उपयोग करना" (PDF). CCEID Meeting.
↑ Russinovich, Mark (6 February 2006). "डिजिटल राइट्स मैनेजमेंट को हराने के लिए रूटकिट्स का उपयोग करना". Winternals. SysInternals. Archived from the original on 14 August 2006. Retrieved 2006-08-13.
↑ "सिमेंटेक अपने स्वयं के रूटकिट के लिए अद्यतन जारी करता है". HWM (March): 89. 2006 – via Google Books.
↑ ^24.0 ^24.1 Ortega, Alfredo; Sacco, Anibal (2009-07-24). रूटकिट को निष्क्रिय करें: BIOS विरोधी चोरी प्रौद्योगिकियों पर हमला (PDF). Black Hat USA 2009 (PDF). Boston, MA: Core Security Technologies. Retrieved 2014-06-12.
↑ Kleissner, Peter (2009-09-02). "Stoned Bootkit: The Rise of MBR Rootkits & Bootkits in the Wild" (PDF). Archived from the original (PDF) on 2011-07-16. Retrieved 2010-11-23.
↑ ^26.0 ^26.1 ^26.2 Anson, Steve; Bunting, Steve (2007). विंडोज नेटवर्क फोरेंसिक और जांच में महारत हासिल करना. John Wiley and Sons. pp. 73–74. ISBN 978-0-470-09762-5.
↑ ^27.0 ^27.1 ^27.2 ^27.3 "रूटकिट्स पार्ट 2: एक तकनीकी प्राइमर" (PDF). McAfee. 2007-04-03. Archived from the original (PDF) on 2008-12-05. Retrieved 2010-08-17.
↑ Kdm. "NTIllusion: एक पोर्टेबल Win32 यूजरलैंड रूटकिट". Phrack. 62 (12).
↑ ^29.0 ^29.1 ^29.2 ^29.3 "Understanding Anti-Malware Technologies" (PDF). Microsoft. 2007-02-21. Archived from the original (PDF) on 2010-09-11. Retrieved 2010-08-17.
↑ Hoglund, Greg (1999-09-09). "ए * रियल * एनटी रूटकिट, एनटी कर्नेल को पैच करना". Phrack. 9 (55). Retrieved 2010-11-21.
↑ Chuvakin, Anton (2003-02-02). An Overview of Unix Rootkits (PDF) (Report). Chantilly, Virginia: iDEFENSE. Archived from the original (PDF) on 2011-07-25. Retrieved 2010-11-21.
↑ Butler, James; Sparks, Sherri (2005-11-16). "2005 का विंडोज रूटकिट, भाग दो". Symantec Connect. Symantec. Retrieved 2010-11-13.
↑ Butler, James; Sparks, Sherri (2005-11-03). "2005 का विंडोज रूटकिट, भाग एक". Symantec Connect. Symantec. Retrieved 2010-11-12.
↑ Burdach, Mariusz (2004-11-17). "लिनक्स में रूटकिट्स और कर्नेल-स्तर के समझौता का पता लगाना". Symantec. Retrieved 2010-11-23.
↑ Osborne, Charlie (September 17, 2019). "स्किडमैप मैलवेयर अवैध क्रिप्टोक्यूरेंसी खनन को छिपाने के लिए कर्नेल में दब जाता है". ZDNet. Retrieved July 24, 2021.
↑ Marco Giuliani (11 April 2011). "ZeroAccess – एक उन्नत कर्नेल मोड रूटकिट" (PDF). Webroot Software. Retrieved 10 August 2011.
↑ "विंडोज के लिए ड्राइवर साइनिंग आवश्यकताएँ". Microsoft. Retrieved 2008-07-06.
↑ Salter, Jim (July 31, 2020). "बूटहोल पैच के कारण Red Hat और CentOS सिस्टम बूट नहीं हो रहे हैं". Ars Technica. Retrieved July 24, 2021.
↑ Schneier, Bruce (2009-10-23). "एन्क्रिप्टेड हार्ड ड्राइव पर 'ईविल मेड' अटैक". Retrieved 2009-11-07.
↑ Soeder, Derek; Permeh, Ryan (2007-05-09). "चुकंदर". eEye Digital Security. Archived from the original on 2013-08-17. Retrieved 2010-11-23.
↑ Kumar, Nitin; Kumar, Vipin (2007). Vbootkit: Windows Vista सुरक्षा से समझौता (PDF). Black Hat Europe 2007.
↑ "बूट किट: कस्टम बूट सेक्टर आधारित विंडोज 2000/XP/2003 तोड़फोड़". NVlabs. 2007-02-04. Archived from the original on June 10, 2010. Retrieved 2010-11-21.
↑ Kleissner, Peter (2009-10-19). "स्टोन्ड बूटकिट". Peter Kleissner. Retrieved 2009-11-07.^{[self-published source]}
↑ Goodin, Dan (2010-11-16). "दुनिया का सबसे उन्नत रूटकिट 64-बिट विंडोज में प्रवेश करता है". The Register. Retrieved 2010-11-22.
↑ Francisco, Neil McAllister in San. "माइक्रोसॉफ्ट ने ओईएम विंडोज 8 लाइसेंसिंग पर पकड़ मजबूत की". www.theregister.com.
↑ King, Samuel T.; Chen, Peter M.; Wang, Yi-Min; Verbowski, Chad; Wang, Helen J.; Lorch, Jacob R. (2006-04-03). International Business Machines (ed.). SubVirt: वर्चुअल मशीन के साथ मैलवेयर को लागू करना (PDF). 2006 IEEE Symposium on Security and Privacy. Institute of Electrical and Electronics Engineers. doi:10.1109/SP.2006.38. ISBN 0-7695-2574-1. Retrieved 2008-09-15. {{cite conference}}: |editor= has generic name (help)
↑ Wang, Zhi; Jiang, Xuxian; Cui, Weidong; Ning, Peng (2009-08-11). "लाइटवेट हुक प्रोटेक्शन के साथ कर्नेल रूटकिट्स का मुकाबला करना" (PDF). In Al-Shaer, Ehab (General Chair) (ed.). Proceedings of the 16th ACM Conference on Computer and Communications Security. CCS 2009: 16th ACM Conference on Computer and Communications Security. Jha, Somesh; Keromytis, Angelos D. (Program Chairs). New York: ACM New York. doi:10.1145/1653662.1653728. ISBN 978-1-60558-894-0. Retrieved 2009-11-11.
↑ "डिवाइस गार्ड विंडोज डिफेंडर एप्लिकेशन कंट्रोल और वर्चुअलाइजेशन-आधारित कोड इंटीग्रिटी (विंडोज 10) की सुरक्षा का संयोजन है".
↑ Delugré, Guillaume (2010-11-21). ब्रॉडकॉम नेटेक्सट्रीम फ़र्मवेयर को उलटना (PDF). hack.lu. Sogeti. Archived from the original (PDF) on 2012-04-25. Retrieved 2010-11-25.
↑ ^50.0 ^50.1 "हैकिंग टीम आरसीएस 9 एजेंट को टारगेट सिस्टम में रखने के लिए यूईएफआई BIOS रूटकिट का उपयोग करती है - TrendLabs Security Intelligence Blog". 2015-07-13.
↑ Heasman, John (2006-01-25). एसीपीआई BIOS रूटकिट का कार्यान्वयन और पता लगाना (PDF). Black Hat Federal 2006. NGS Consulting. Retrieved 2010-11-21.
↑ Heasman, John (2006-11-15). "पीसीआई रूटकिट का कार्यान्वयन और पता लगाना" (PDF). Next Generation Security Software. CiteSeerX: 10.1.1.89.7305. Retrieved 2010-11-13.
↑ Modine, Austin (2008-10-10). "यूरोपीय कार्ड स्वाइप उपकरणों के साथ संगठित अपराध छेड़छाड़: ग्राहक डेटा विदेशों में प्रसारित हुआ". The Register. Situation Publishing. Retrieved 2008-10-13. {{cite web}}: zero width space character in |title= at position 60 (help)
↑ Sacco, Anibal; Ortéga, Alfredo (2009). Persistent BIOS infection (PDF). CanSecWest 2009. Core Security Technologies. Archived from the original (PDF) on 2011-07-08. Retrieved 2010-11-21.
↑ Goodin, Dan (2009-03-24). "न्यूफंगल रूटकिट्स हार्ड डिस्क वाइपिंग से बचे रहते हैं". The Register. Situation Publishing. Retrieved 2009-03-25.
↑ Sacco, Anibal; Ortéga, Alfredo (2009-06-01). "लगातार BIOS संक्रमण: द अर्ली बर्ड कैच द वर्म". Phrack. 66 (7). Retrieved 2010-11-13.
↑ Ric Vieler (2007). पेशेवर रूटकिट्स. John Wiley & Sons. p. 244. ISBN 9780470149546.
↑ Matrosov, Aleksandr; Rodionov, Eugene (2010-06-25). "TDL3: The Rootkit of All Evil?" (PDF). Moscow: ESET. p. 3. Archived from the original (PDF) on 2011-05-13. Retrieved 2010-08-17.
↑ Matrosov, Aleksandr; Rodionov, Eugene (2011-06-27). "The Evolution of TDL: Conquering x64" (PDF). ESET. Archived from the original (PDF) on 2015-07-29. Retrieved 2011-08-08.
↑ Gatlan, Sergiu (May 6, 2021). "नई मोरिया रूटकिट जंगली से पिछले दरवाजे विंडोज सिस्टम में उपयोग की जाती है". Bleeping Computer. Retrieved July 24, 2021.
↑ Brumley, David (1999-11-16). "अदृश्य घुसपैठिए: अभ्यास में रूटकिट". USENIX. USENIX.
↑ ^62.0 ^62.1 ^62.2 ^62.3 ^62.4 Davis, Michael A.; Bodmer, Sean; LeMasters, Aaron (2009-09-03). "Chapter 10: Rootkit Detection" (PDF). हैकिंग उजागर मैलवेयर और रूटकिट्स: मैलवेयर और रूटकिट्स सुरक्षा रहस्य और समाधान. New York: McGraw Hill Professional. ISBN 978-0-07-159118-8.
↑ Trlokom (2006-07-05). "Defeating Rootkits and Keyloggers" (PDF). Trlokom. Archived from the original (PDF) on 2011-07-17. Retrieved 2010-08-17.
↑ Dai Zovi, Dino (2011). "कर्नेल रूटकिट्स". Archived from the original on September 10, 2012. Retrieved 13 Sep 2012.
↑ "ज़ेप्पू". SourceForge. 18 July 2009. Retrieved 8 August 2011.
↑ Cogswell, Bryce; Russinovich, Mark (2006-11-01). "रूटकिट रिवीलर v1.71". Microsoft. Retrieved 2010-11-13.
↑ "रूटकिट और एंटी-रूटकिट". Retrieved 13 September 2017.
↑ "सोफोस एंटी-रूटकिट". Sophos. Retrieved 8 August 2011.
↑ "काला प्रकाश". F-Secure. Retrieved 8 August 2011.
↑ "रेडिक्स एंटी-रूटकिट". usec.at. Retrieved 8 August 2011.
↑ "जीएमईआर". Retrieved 8 August 2011.
↑ Harriman, Josh (2007-10-19). "रूटकिट हटाने की प्रभावशीलता के लिए एक परीक्षण पद्धति" (PDF). Dublin, Ireland: Symantec Security Response. Archived from the original (PDF) on 2009-10-07. Retrieved 2010-08-17.
↑ Cuibotariu, Mircea (2010-02-12). "टिडसर्व और MS10-015". Symantec. Retrieved 2010-08-19.
↑ "MS10-015 स्थापित करने के बाद समस्याएँ पुनः प्रारंभ करें". Microsoft. 2010-02-11. Retrieved 2010-10-05.
↑ Steinberg, Joseph (June 9, 2021). "कीलॉगर्स के बारे में आपको क्या जानना चाहिए". bestantivirus.com. Retrieved July 24, 2021.
↑ "Strider GhostBuster Rootkit Detection". Microsoft Research. 2010-01-28. Archived from the original on 2012-07-29. Retrieved 2010-08-14.
↑ "ऑथेंटिकोड के साथ कोड पर हस्ताक्षर करना और जांचना". Microsoft. Retrieved 2008-09-15.
↑ "नेटवर्क एज पर रूटकिट्स को रोकना" (PDF). Beaverton, Oregon: Trusted Computing Group. January 2017. Retrieved 2008-07-11.
↑ "टीसीजी पीसी विशिष्ट कार्यान्वयन विशिष्टता, संस्करण 1.1" (PDF). Trusted Computing Group. 2003-08-18. Retrieved 2010-11-22.
↑ "Windows-आधारित सिस्टम पर NMI का उपयोग करके एक पूर्ण क्रैश डंप फ़ाइल या कर्नेल क्रैश डंप फ़ाइल कैसे उत्पन्न करें". Microsoft. Retrieved 2010-11-13.
↑ Seshadri, Arvind; et al. (2005). "पायनियर: कोड इंटीग्रिटी का सत्यापन करना और लीगेसी सिस्टम्स पर अनपेक्षित कोड निष्पादन को लागू करना". Proceedings of the Twentieth ACM Symposium on Operating Systems Principles. Carnegie Mellon University. doi:10.1145/1095810.1095812. S2CID 9960430.
↑ Dillard, Kurt (2005-08-03). "रूटकिट लड़ाई: रूटकिट रिवीलर बनाम हैकर डिफेंडर".
↑ "Microsoft Windows दुर्भावनापूर्ण सॉफ़्टवेयर निष्कासन उपकरण Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008, या Windows XP चलाने वाले कंप्यूटरों से विशिष्ट, प्रचलित दुर्भावनापूर्ण सॉफ़्टवेयर को निकालने में मदद करता है". Microsoft. 2010-09-14.
↑ Bettany, Andrew; Halsey, Mike (2017). विंडोज वायरस और मैलवेयर समस्या निवारण. Apress. p. 17. ISBN 9781484226070 – via Google Books.
↑ Hultquist, Steve (2007-04-30). "रूटकिट्स: अगला बड़ा उद्यम खतरा?". InfoWorld. Retrieved 2010-11-21.
↑ "सुरक्षा निगरानी: मौज-मस्ती और लाभ के लिए रूटकिट्स". CNET Reviews. 2007-01-19. Archived from the original on 2012-10-08. Retrieved 2009-04-07.
↑ Bort, Julie (2007-09-29). "बॉटनेट्स के खिलाफ वापस लड़ने के छह तरीके". PCWorld. San Francisco: PCWorld Communications. Retrieved 2009-04-07.
↑ Hoang, Mimi (2006-11-02). "आज के कठिन सुरक्षा खतरों से निपटना: रूटकिट्स". Symantec Connect. Symantec. Retrieved 2010-11-21.
↑ ^89.0 ^89.1 Danseglio, Mike; Bailey, Tony (2005-10-06). "रूटकिट्स: द ऑबस्क्योर हैकर अटैक". Microsoft.
↑ Messmer, Ellen (2006-08-26). "विशेषज्ञ रूटकिट का पता लगाने और हटाने पर विभाजित हैं". NetworkWorld.com. Framingham, Mass.: IDG. Retrieved 2010-08-15.
↑ Skoudis, Ed; Zeltser, Lenny (2004). मैलवेयर: दुर्भावनापूर्ण कोड से लड़ना. Prentice Hall PTR. p. 335. ISBN 978-0-13-101405-3.
↑ Hannel, Jeromey (2003-01-23). "शुरुआत करने वालों के लिए Linux रूटकिट - निवारण से निष्कासन तक". SANS Institute. Archived from the original (PDF) on October 24, 2010. Retrieved 2010-11-22.

अग्रिम पठन

Blunden, Bill (2009). The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System. Wordware. ISBN 978-1-59822-061-2.
Hoglund, Greg; Butler, James (2005). Rootkits: Subverting the Windows Kernel. Addison-Wesley Professional. ISBN 978-0-321-29431-9.
Grampp, F. T.; Morris, Robert H. Sr. (October 1984). "The UNIX System: UNIX Operating System Security". AT&T Bell Laboratories Technical Journal. 62 (8): 1649–1672. doi:10.1002/j.1538-7305.1984.tb00058.x. S2CID 26877484.
Kong, Joseph (2007). Designing BSD Rootkits. No Starch Press. ISBN 978-1-59327-142-8.
Veiler, Ric (2007). Professional Rootkits. Wrox. ISBN 978-0-470-10154-4.

बाहरी संबंध

File:Commons-logo.svg Media related to Rootkits at Wikimedia Commons

↑ The process name of Sysinternals RootkitRevealer was targeted by malware; in an attempt to counter this countermeasure, the tool now uses a randomly generated process name.
↑ In theory, a sufficiently sophisticated kernel-level rootkit could subvert read operations against raw file system data structures as well, so that they match the results returned by APIs.

[McAfee1-1] 1.0 ^1.1 ^1.2 ^1.3 ^1.4 ^1.5 ^1.6 ^1.7 "रूटकिट्स, 3 का भाग 1: बढ़ता हुआ खतरा" (PDF). McAfee. 2006-04-17. Archived from the original (PDF) on 2006-08-23.

[2] Evancich, N.; Li, J. (2016-08-23). "6.2.3 Rootkits". In Colbert, Edward J. M.; Kott, Alexander (eds.). एससीएडीए और अन्य औद्योगिक नियंत्रण प्रणालियों की साइबर सुरक्षा. Springer. p. 100. ISBN 9783319321257 – via Google Books.

[3] "रूटकिट क्या है - परिभाषा और व्याख्या". www.kaspersky.com (in English). 2021-04-09. Retrieved 2021-11-13.

[Symantec-4] 4.0 ^4.1 ^4.2 ^4.3 "विंडोज रूटकिट अवलोकन" (PDF). Symantec. 2006-03-26. Archived from the original (PDF) on 2010-12-14. Retrieved 2010-08-17.

[Sparks-Bar-5] Sparks, Sherri; Butler, Jamie (2005-08-01). "विंडोज रूटकिट डिटेक्शन के लिए बार उठाना". Phrack. 0xb (x3d).

[Harris-6] 6.0 ^6.1 ^6.2 ^6.3 ^6.4 Myers, Michael; Youndt, Stephen (2007-08-07). हार्डवेयर-असिस्टेड वर्चुअल मशीन (एचवीएम) रूटकिट्स का एक परिचय (Report). Crucial Security. CiteSeerX: 10.1.1.90.8832.

[7] Andrew Hay; Daniel Cid; Rory Bray (2008). OSSEC होस्ट-आधारित घुसपैठ का पता लगाने वाली मार्गदर्शिका. Syngress. p. 276. ISBN 978-1-59749-240-9 – via Google Books.

[Turing_Award_Lecture-8] Thompson, Ken (August 1984). "ट्रस्टिंग ट्रस्ट पर विचार" (PDF). Communications of the ACM. 27 (8): 761. doi:10.1145/358198.358210.

[Hoglund-9] 9.0 ^9.1 Greg Hoglund; James Butler (2006). रूटकिट्स: विंडोज कर्नेल को सबवर्ट करना. Addison-Wesley. p. 4. ISBN 978-0-321-29431-9 – via Google Books.

[10] Dai Zovi, Dino (2009-07-26). उन्नत मैक ओएस एक्स रूटकिट्स (PDF). Blackhat. Endgame Systems. Retrieved 2010-11-23.

[11] "स्टक्सनेट औद्योगिक नियंत्रण प्रणाली के लिए पहली ज्ञात रूटकिट पेश करता है". Symantec. 2010-08-06. Retrieved 2010-12-04.

[CA-XCP-12] "स्पाइवेयर विवरण: XCP.Sony.Rootkit". Computer Associates. 2005-11-05. Archived from the original on 2010-08-18. Retrieved 2010-08-19.

[markrussinovich-13] Russinovich, Mark (2005-10-31). "सोनी, रूटकिट्स और डिजिटल राइट्स मैनेजमेंट बहुत दूर चला गया". TechNet Blogs. Microsoft. Retrieved 2010-08-16.

[14] "सोनी की दीर्घकालिक रूटकिट सीडी संकट". BBC News. 2005-11-21. Retrieved 2008-09-15.

[felton-15] Felton, Ed (2005-11-15). "सोनी का वेब-आधारित अनइंस्टालर एक बड़ा सुरक्षा छेद खोलता है; सोनी टू रिकॉल डिस्क".

[16] Knight, Will (2005-11-11). "सोनी बीएमजी ने म्यूजिक सीडी पर क्लोकिंग सॉफ्टवेयर पर मुकदमा दायर किया". New Scientist. Retrieved 2010-11-21.

[17] Kyriakidou, Dina (March 2, 2006). ""ग्रीक वाटरगेट" स्कैंडल राजनीतिक शॉकवेव्स भेजता है". Reuters. Retrieved 2007-11-24.^{[dead link]}

[ieee-18] 18.0 ^18.1 Vassilis Prevelakis; Diomidis Spinellis (July 2007). "एथेंस मामला".

[19] Russinovich, Mark (June 2005). "Unearthing Root Kits". Windows IT Pro. Archived from the original on 2012-09-18. Retrieved 2010-12-16.

[20] Marks, Joseph (July 1, 2021). "साइबर सुरक्षा 202: DOJ का भविष्य हैकर्स को बाधित करने में है, न कि केवल उन पर अभियोग लगाने में". The Washington Post. Retrieved July 24, 2021.

[21] Steve Hanna (September 2007). "हनीपोट-आधारित मालवेयर डिटेक्शन के लिए रूटकिट प्रौद्योगिकी का उपयोग करना" (PDF). CCEID Meeting.

[22] Russinovich, Mark (6 February 2006). "डिजिटल राइट्स मैनेजमेंट को हराने के लिए रूटकिट्स का उपयोग करना". Winternals. SysInternals. Archived from the original on 14 August 2006. Retrieved 2006-08-13.

[23] "सिमेंटेक अपने स्वयं के रूटकिट के लिए अद्यतन जारी करता है". HWM (March): 89. 2006 – via Google Books.

[Ortega-24] 24.0 ^24.1 Ortega, Alfredo; Sacco, Anibal (2009-07-24). रूटकिट को निष्क्रिय करें: BIOS विरोधी चोरी प्रौद्योगिकियों पर हमला (PDF). Black Hat USA 2009 (PDF). Boston, MA: Core Security Technologies. Retrieved 2014-06-12.

[25] Kleissner, Peter (2009-09-02). "Stoned Bootkit: The Rise of MBR Rootkits & Bootkits in the Wild" (PDF). Archived from the original (PDF) on 2011-07-16. Retrieved 2010-11-23.

[anson-forensics-26] 26.0 ^26.1 ^26.2 Anson, Steve; Bunting, Steve (2007). विंडोज नेटवर्क फोरेंसिक और जांच में महारत हासिल करना. John Wiley and Sons. pp. 73–74. ISBN 978-0-470-09762-5.

[McAfee2-27] 27.0 ^27.1 ^27.2 ^27.3 "रूटकिट्स पार्ट 2: एक तकनीकी प्राइमर" (PDF). McAfee. 2007-04-03. Archived from the original (PDF) on 2008-12-05. Retrieved 2010-08-17.

[28] Kdm. "NTIllusion: एक पोर्टेबल Win32 यूजरलैंड रूटकिट". Phrack. 62 (12).

[UAMT-29] 29.0 ^29.1 ^29.2 ^29.3 "Understanding Anti-Malware Technologies" (PDF). Microsoft. 2007-02-21. Archived from the original (PDF) on 2010-09-11. Retrieved 2010-08-17.

[30] Hoglund, Greg (1999-09-09). "ए * रियल * एनटी रूटकिट, एनटी कर्नेल को पैच करना". Phrack. 9 (55). Retrieved 2010-11-21.

[31] Chuvakin, Anton (2003-02-02). An Overview of Unix Rootkits (PDF) (Report). Chantilly, Virginia: iDEFENSE. Archived from the original (PDF) on 2011-07-25. Retrieved 2010-11-21.

[32] Butler, James; Sparks, Sherri (2005-11-16). "2005 का विंडोज रूटकिट, भाग दो". Symantec Connect. Symantec. Retrieved 2010-11-13.

[33] Butler, James; Sparks, Sherri (2005-11-03). "2005 का विंडोज रूटकिट, भाग एक". Symantec Connect. Symantec. Retrieved 2010-11-12.

[34] Burdach, Mariusz (2004-11-17). "लिनक्स में रूटकिट्स और कर्नेल-स्तर के समझौता का पता लगाना". Symantec. Retrieved 2010-11-23.

[35] Osborne, Charlie (September 17, 2019). "स्किडमैप मैलवेयर अवैध क्रिप्टोक्यूरेंसी खनन को छिपाने के लिए कर्नेल में दब जाता है". ZDNet. Retrieved July 24, 2021.

[36] Marco Giuliani (11 April 2011). "ZeroAccess – एक उन्नत कर्नेल मोड रूटकिट" (PDF). Webroot Software. Retrieved 10 August 2011.

[37] "विंडोज के लिए ड्राइवर साइनिंग आवश्यकताएँ". Microsoft. Retrieved 2008-07-06.

[38] Salter, Jim (July 31, 2020). "बूटहोल पैच के कारण Red Hat और CentOS सिस्टम बूट नहीं हो रहे हैं". Ars Technica. Retrieved July 24, 2021.

[39] Schneier, Bruce (2009-10-23). "एन्क्रिप्टेड हार्ड ड्राइव पर 'ईविल मेड' अटैक". Retrieved 2009-11-07.

[40] Soeder, Derek; Permeh, Ryan (2007-05-09). "चुकंदर". eEye Digital Security. Archived from the original on 2013-08-17. Retrieved 2010-11-23.

[kumar-vbootkit-41] Kumar, Nitin; Kumar, Vipin (2007). Vbootkit: Windows Vista सुरक्षा से समझौता (PDF). Black Hat Europe 2007.

[42] "बूट किट: कस्टम बूट सेक्टर आधारित विंडोज 2000/XP/2003 तोड़फोड़". NVlabs. 2007-02-04. Archived from the original on June 10, 2010. Retrieved 2010-11-21.

[43] Kleissner, Peter (2009-10-19). "स्टोन्ड बूटकिट". Peter Kleissner. Retrieved 2009-11-07.^{[self-published source]}

[44] Goodin, Dan (2010-11-16). "दुनिया का सबसे उन्नत रूटकिट 64-बिट विंडोज में प्रवेश करता है". The Register. Retrieved 2010-11-22.

[45] Francisco, Neil McAllister in San. "माइक्रोसॉफ्ट ने ओईएम विंडोज 8 लाइसेंसिंग पर पकड़ मजबूत की". www.theregister.com.

[46] King, Samuel T.; Chen, Peter M.; Wang, Yi-Min; Verbowski, Chad; Wang, Helen J.; Lorch, Jacob R. (2006-04-03). International Business Machines (ed.). SubVirt: वर्चुअल मशीन के साथ मैलवेयर को लागू करना (PDF). 2006 IEEE Symposium on Security and Privacy. Institute of Electrical and Electronics Engineers. doi:10.1109/SP.2006.38. ISBN 0-7695-2574-1. Retrieved 2008-09-15. {{cite conference}}: |editor= has generic name (help)

[47] Wang, Zhi; Jiang, Xuxian; Cui, Weidong; Ning, Peng (2009-08-11). "लाइटवेट हुक प्रोटेक्शन के साथ कर्नेल रूटकिट्स का मुकाबला करना" (PDF). In Al-Shaer, Ehab (General Chair) (ed.). Proceedings of the 16th ACM Conference on Computer and Communications Security. CCS 2009: 16th ACM Conference on Computer and Communications Security. Jha, Somesh; Keromytis, Angelos D. (Program Chairs). New York: ACM New York. doi:10.1145/1653662.1653728. ISBN 978-1-60558-894-0. Retrieved 2009-11-11.

[48] "डिवाइस गार्ड विंडोज डिफेंडर एप्लिकेशन कंट्रोल और वर्चुअलाइजेशन-आधारित कोड इंटीग्रिटी (विंडोज 10) की सुरक्षा का संयोजन है".

[49] Delugré, Guillaume (2010-11-21). ब्रॉडकॉम नेटेक्सट्रीम फ़र्मवेयर को उलटना (PDF). hack.lu. Sogeti. Archived from the original (PDF) on 2012-04-25. Retrieved 2010-11-25.

[blog.trendmicro.com-50] 50.0 ^50.1 "हैकिंग टीम आरसीएस 9 एजेंट को टारगेट सिस्टम में रखने के लिए यूईएफआई BIOS रूटकिट का उपयोग करती है - TrendLabs Security Intelligence Blog". 2015-07-13.

[51] Heasman, John (2006-01-25). एसीपीआई BIOS रूटकिट का कार्यान्वयन और पता लगाना (PDF). Black Hat Federal 2006. NGS Consulting. Retrieved 2010-11-21.

[52] Heasman, John (2006-11-15). "पीसीआई रूटकिट का कार्यान्वयन और पता लगाना" (PDF). Next Generation Security Software. CiteSeerX: 10.1.1.89.7305. Retrieved 2010-11-13.

[53] Modine, Austin (2008-10-10). "यूरोपीय कार्ड स्वाइप उपकरणों के साथ संगठित अपराध छेड़छाड़: ग्राहक डेटा विदेशों में प्रसारित हुआ". The Register. Situation Publishing. Retrieved 2008-10-13. {{cite web}}: zero width space character in |title= at position 60 (help)

[54] Sacco, Anibal; Ortéga, Alfredo (2009). Persistent BIOS infection (PDF). CanSecWest 2009. Core Security Technologies. Archived from the original (PDF) on 2011-07-08. Retrieved 2010-11-21.

[55] Goodin, Dan (2009-03-24). "न्यूफंगल रूटकिट्स हार्ड डिस्क वाइपिंग से बचे रहते हैं". The Register. Situation Publishing. Retrieved 2009-03-25.

[56] Sacco, Anibal; Ortéga, Alfredo (2009-06-01). "लगातार BIOS संक्रमण: द अर्ली बर्ड कैच द वर्म". Phrack. 66 (7). Retrieved 2010-11-13.

[57] Ric Vieler (2007). पेशेवर रूटकिट्स. John Wiley & Sons. p. 244. ISBN 9780470149546.

[58] Matrosov, Aleksandr; Rodionov, Eugene (2010-06-25). "TDL3: The Rootkit of All Evil?" (PDF). Moscow: ESET. p. 3. Archived from the original (PDF) on 2011-05-13. Retrieved 2010-08-17.

[59] Matrosov, Aleksandr; Rodionov, Eugene (2011-06-27). "The Evolution of TDL: Conquering x64" (PDF). ESET. Archived from the original (PDF) on 2015-07-29. Retrieved 2011-08-08.

[60] Gatlan, Sergiu (May 6, 2021). "नई मोरिया रूटकिट जंगली से पिछले दरवाजे विंडोज सिस्टम में उपयोग की जाती है". Bleeping Computer. Retrieved July 24, 2021.

[61] Brumley, David (1999-11-16). "अदृश्य घुसपैठिए: अभ्यास में रूटकिट". USENIX. USENIX.

[MIT-62] 62.0 ^62.1 ^62.2 ^62.3 ^62.4 Davis, Michael A.; Bodmer, Sean; LeMasters, Aaron (2009-09-03). "Chapter 10: Rootkit Detection" (PDF). हैकिंग उजागर मैलवेयर और रूटकिट्स: मैलवेयर और रूटकिट्स सुरक्षा रहस्य और समाधान. New York: McGraw Hill Professional. ISBN 978-0-07-159118-8.

[trlokom-63] Trlokom (2006-07-05). "Defeating Rootkits and Keyloggers" (PDF). Trlokom. Archived from the original (PDF) on 2011-07-17. Retrieved 2010-08-17.

[64] Dai Zovi, Dino (2011). "कर्नेल रूटकिट्स". Archived from the original on September 10, 2012. Retrieved 13 Sep 2012.

[65] "ज़ेप्पू". SourceForge. 18 July 2009. Retrieved 8 August 2011.

[66] Cogswell, Bryce; Russinovich, Mark (2006-11-01). "रूटकिट रिवीलर v1.71". Microsoft. Retrieved 2010-11-13.

[67] "रूटकिट और एंटी-रूटकिट". Retrieved 13 September 2017.

[68] "सोफोस एंटी-रूटकिट". Sophos. Retrieved 8 August 2011.

[69] "काला प्रकाश". F-Secure. Retrieved 8 August 2011.

[70] "रेडिक्स एंटी-रूटकिट". usec.at. Retrieved 8 August 2011.

[71] "जीएमईआर". Retrieved 8 August 2011.

[73] Harriman, Josh (2007-10-19). "रूटकिट हटाने की प्रभावशीलता के लिए एक परीक्षण पद्धति" (PDF). Dublin, Ireland: Symantec Security Response. Archived from the original (PDF) on 2009-10-07. Retrieved 2010-08-17.

[74] Cuibotariu, Mircea (2010-02-12). "टिडसर्व और MS10-015". Symantec. Retrieved 2010-08-19.

[75] "MS10-015 स्थापित करने के बाद समस्याएँ पुनः प्रारंभ करें". Microsoft. 2010-02-11. Retrieved 2010-10-05.

[76] Steinberg, Joseph (June 9, 2021). "कीलॉगर्स के बारे में आपको क्या जानना चाहिए". bestantivirus.com. Retrieved July 24, 2021.

[77] "Strider GhostBuster Rootkit Detection". Microsoft Research. 2010-01-28. Archived from the original on 2012-07-29. Retrieved 2010-08-14.

[78] "ऑथेंटिकोड के साथ कोड पर हस्ताक्षर करना और जांचना". Microsoft. Retrieved 2008-09-15.

[79] "नेटवर्क एज पर रूटकिट्स को रोकना" (PDF). Beaverton, Oregon: Trusted Computing Group. January 2017. Retrieved 2008-07-11.

[80] "टीसीजी पीसी विशिष्ट कार्यान्वयन विशिष्टता, संस्करण 1.1" (PDF). Trusted Computing Group. 2003-08-18. Retrieved 2010-11-22.

[81] "Windows-आधारित सिस्टम पर NMI का उपयोग करके एक पूर्ण क्रैश डंप फ़ाइल या कर्नेल क्रैश डंप फ़ाइल कैसे उत्पन्न करें". Microsoft. Retrieved 2010-11-13.

[82] Seshadri, Arvind; et al. (2005). "पायनियर: कोड इंटीग्रिटी का सत्यापन करना और लीगेसी सिस्टम्स पर अनपेक्षित कोड निष्पादन को लागू करना". Proceedings of the Twentieth ACM Symposium on Operating Systems Principles. Carnegie Mellon University. doi:10.1145/1095810.1095812. S2CID 9960430.

[83] Dillard, Kurt (2005-08-03). "रूटकिट लड़ाई: रूटकिट रिवीलर बनाम हैकर डिफेंडर".

[84] "Microsoft Windows दुर्भावनापूर्ण सॉफ़्टवेयर निष्कासन उपकरण Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008, या Windows XP चलाने वाले कंप्यूटरों से विशिष्ट, प्रचलित दुर्भावनापूर्ण सॉफ़्टवेयर को निकालने में मदद करता है". Microsoft. 2010-09-14.

[85] Bettany, Andrew; Halsey, Mike (2017). विंडोज वायरस और मैलवेयर समस्या निवारण. Apress. p. 17. ISBN 9781484226070 – via Google Books.

[87] Hultquist, Steve (2007-04-30). "रूटकिट्स: अगला बड़ा उद्यम खतरा?". InfoWorld. Retrieved 2010-11-21.

[88] "सुरक्षा निगरानी: मौज-मस्ती और लाभ के लिए रूटकिट्स". CNET Reviews. 2007-01-19. Archived from the original on 2012-10-08. Retrieved 2009-04-07.

[89] Bort, Julie (2007-09-29). "बॉटनेट्स के खिलाफ वापस लड़ने के छह तरीके". PCWorld. San Francisco: PCWorld Communications. Retrieved 2009-04-07.

[90] Hoang, Mimi (2006-11-02). "आज के कठिन सुरक्षा खतरों से निपटना: रूटकिट्स". Symantec Connect. Symantec. Retrieved 2010-11-21.

[ms-obscure-hacker-91] 89.0 ^89.1 Danseglio, Mike; Bailey, Tony (2005-10-06). "रूटकिट्स: द ऑबस्क्योर हैकर अटैक". Microsoft.

[92] Messmer, Ellen (2006-08-26). "विशेषज्ञ रूटकिट का पता लगाने और हटाने पर विभाजित हैं". NetworkWorld.com. Framingham, Mass.: IDG. Retrieved 2010-08-15.

[93] Skoudis, Ed; Zeltser, Lenny (2004). मैलवेयर: दुर्भावनापूर्ण कोड से लड़ना. Prentice Hall PTR. p. 335. ISBN 978-0-13-101405-3.

[94] Hannel, Jeromey (2003-01-23). "शुरुआत करने वालों के लिए Linux रूटकिट - निवारण से निष्कासन तक". SANS Institute. Archived from the original (PDF) on October 24, 2010. Retrieved 2010-11-22.

[72] The process name of Sysinternals RootkitRevealer was targeted by malware; in an attempt to counter this countermeasure, the tool now uses a randomly generated process name.

[86] In theory, a sufficiently sophisticated kernel-level rootkit could subvert read operations against raw file system data structures as well, so that they match the results returned by APIs.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[45]

[46]

[47]

[48]

[49]

[50]

[51]

[52]

[53]

[54]

[55]

[56]

[57]

[58]

[59]

[60]

[61]

[62]

[63]

[64]

[65]

[66]

[67]

[68]

[69]

[70]

[71]

[Notes 1]

[72]

[73]

[74]

[75]

[76]

[77]

[78]

[79]

[80]

[81]

[82]

[83]

[84]

[Notes 2]

[85]

[86]

[87]

[88]

[89]

[90]

[91]

[92]

Anonymous

Search

रूटकिट: Difference between revisions

Namespaces

More

Page actions

Latest revision as of 20:48, 31 January 2023

Contents

इतिहास

सोनी बीएमजी कॉपी प्रोटेक्शन रूटकिट स्कैंडल

ग्रीक वायरटैपिंग मामला 2004–05

उपयोग

प्रकार

उपयोगकर्ता मोड

कर्नेल मोड

बूटकिट्स

सूत्र स्तर

फर्मवेयर और हार्डवेयर

स्थापना और क्लोकिंग

जांच

वैकल्पिक विश्वसनीय माध्यम

व्यवहार-आधारित

हस्ताक्षर-आधारित

अंतर-आधारित

अखंडता जांच

मेमोरी डंप

हटाना

बचाव

यह भी देखें

टिप्पणियाँ

संदर्भ

अग्रिम पठन

बाहरी संबंध

Navigation

Navigation

Wiki tools

Wiki tools

@@ Line 1: / Line 1: @@
 {{Short description|Software designed to enable access to unauthorized locations in a computer}}
 {{Information security}}
-रूटकिट सॉफ्टवेयर का एक संग्रह है, जो सामान्यतः द्वेषपूर्ण होता है, जिसे कंप्यूटर या इसके [[सॉफ़्टवेयर]] के एक क्षेत्र तक पहुंच को सक्षम बनाने के लिए डिज़ाइन किया गया है, जिसे अन्यथा अनुमति नहीं है (उदाहरण के लिए, एक अनधिकृत उपयोगकर्ता के लिए) और अधिकांशतः इसके अस्तित्व या अन्य सॉफ़्टवेयर के अस्तित्व को छुपाता है।<ref name="McAfee1"/> शब्द रूटकिट "रूट" का एक यौगिक है (यूनिक्स-जैसे ऑपरेटिंग सिस्टम पर विशेषाधिकार प्राप्त अकाउंट का पारंपरिक नाम) और शब्द किट (जो उपकरण को लागू करने वाले सॉफ़्टवेयर घटकों को संदर्भित करता है)।<ref>{{cite book |editor-last1=Colbert |editor-first1=Edward J. M. |editor-last2=Kott |editor-first2=Alexander| last1=Evancich|first1=N.|last2=Li|first2=J.|page=100|date=2016-08-23 |publisher=Springer |title=एससीएडीए और अन्य औद्योगिक नियंत्रण प्रणालियों की साइबर सुरक्षा|chapter=6.2.3 Rootkits |chapter-url=https://books.google.com/books?id=4ZTlDAAAQBAJ&pg=PA100 |isbn=9783319321257|via=[[Google Books]]}}</ref> रूटकिट शब्द का [[मैलवेयर]] के साथ जुड़ाव के कारण नकारात्मक अर्थ है।<ref name="McAfee1"/>
+रूटकिट सॉफ्टवेयर का संग्रह है, जो सामान्यतः द्वेषपूर्ण होता है, जिसे कंप्यूटर या इसके [[सॉफ़्टवेयर]] के क्षेत्र तक पहुंच को सक्षम बनाने के लिए डिज़ाइन किया गया है, जिसे अन्यथा अनुमति नहीं है (उदाहरण के लिए, अनधिकृत उपयोगकर्ता के लिए) और अधिकांशतः इसके अस्तित्व या अन्य सॉफ़्टवेयर के अस्तित्व को छुपाता है।<ref name="McAfee1"/> अर्थात रूटकिट सामान्यतः गलत उद्देश्यों को पूरा करने के लिए बनाया जाता है। इसे इस तरह से बनाया जाता है कि ये कम्प्युटर या उस क्षेत्र में ऐसे स्थान पर भी कार्य करता है, जिस स्थान पर सॉफ्टवेयर को आम तौर पर अनुमति नहीं होती है।शब्द रूटकिट "रूट" का यौगिक है (यूनिक्स-जैसे ऑपरेटिंग सिस्टम पर विशेषाधिकार प्राप्त अकाउंट का पारंपरिक नाम) और शब्द किट (जो उपकरण को लागू करने वाले सॉफ़्टवेयर घटकों को संदर्भित करता है)।<ref>{{cite book |editor-last1=Colbert |editor-first1=Edward J. M. |editor-last2=Kott |editor-first2=Alexander| last1=Evancich|first1=N.|last2=Li|first2=J.|page=100|date=2016-08-23 |publisher=Springer |title=एससीएडीए और अन्य औद्योगिक नियंत्रण प्रणालियों की साइबर सुरक्षा|chapter=6.2.3 Rootkits |chapter-url=https://books.google.com/books?id=4ZTlDAAAQBAJ&pg=PA100 |isbn=9783319321257|via=[[Google Books]]}}</ref> रूटकिट शब्द का [[मैलवेयर]] के साथ जुड़ाव के कारण नकारात्मक अर्थ है।<ref name="McAfee1"/>
-रूटकिट इंस्टॉलेशन को स्वचालित किया जा सकता है, या एक [[हैकर (कंप्यूटर सुरक्षा)]] रूट या एडमिनिस्ट्रेटर एक्सेस प्राप्त करने के बाद इसे इंस्टॉल कर सकता है।<ref>{{Cite web|date=2021-04-09|title=रूटकिट क्या है - परिभाषा और व्याख्या|url=https://www.kaspersky.com/resource-center/definitions/what-is-rootkit|access-date=2021-11-13|website=www.kaspersky.com|language=en}}</ref> इस पहुंच को प्राप्त करना एक प्रणाली पर सीधे हमले का परिणाम है, अर्थात भेद्यता (जैसे [[विशेषाधिकार वृद्धि]]) या [[पासवर्ड]] ([[पासवर्ड क्रैकिंग]] या [[सोशल इंजीनियरिंग (सुरक्षा)|सोशल इंजीनियरिंग]]  रणनीति जैसे "फ़िशिंग" द्वारा प्राप्त किया गया) एक बार इंस्टॉल हो जाने पर, घुसपैठ को छुपाना और साथ ही विशेषाधिकार प्राप्त पहुंच को बनाए रखना संभव हो जाता है। किसी सिस्टम पर पूर्ण नियंत्रण का अर्थ है कि विद्यमान सॉफ़्टवेयर को संशोधित किया जा सकता है, जिसमें  वह सॉफ़्टवेयर भी सम्मलित है जो अन्यथा इसका पता लगाने या इसे रोकने के लिए उपयोग किया जा सकता है।
+रूटकिट इंस्टॉलेशन को स्वचालित किया जा सकता है, या [[हैकर (कंप्यूटर सुरक्षा)]] रूट या एडमिनिस्ट्रेटर एक्सेस प्राप्त करने के बाद इसे इंस्टॉल कर सकता है।<ref>{{Cite web|date=2021-04-09|title=रूटकिट क्या है - परिभाषा और व्याख्या|url=https://www.kaspersky.com/resource-center/definitions/what-is-rootkit|access-date=2021-11-13|website=www.kaspersky.com|language=en}}</ref> इस पहुंच को प्राप्त करना प्रणाली पर सीधे हमले का परिणाम है, अर्थात भेद्यता (जैसे [[विशेषाधिकार वृद्धि]]) या [[पासवर्ड]] ([[पासवर्ड क्रैकिंग]] या [[सोशल इंजीनियरिंग (सुरक्षा)|सोशल इंजीनियरिंग]] रणनीति जैसे "फ़िशिंग" द्वारा प्राप्त किया गया) बार इंस्टॉल हो जाने पर, घुसपैठ को छुपाना और साथ ही विशेषाधिकार प्राप्त पहुंच को बनाए रखना संभव हो जाता है। किसी सिस्टम पर पूर्ण नियंत्रण का अर्थ है कि विद्यमान सॉफ़्टवेयर को संशोधित किया जा सकता है, जिसमें वह सॉफ़्टवेयर भी सम्मलित है जो अन्यथा इसका पता लगाने या इसे रोकने के लिए उपयोग किया जा सकता है।
-रूटकिट का पता लगाना कठिन है क्योंकि एक रूटकिट उस सॉफ़्टवेयर को नष्ट करने में सक्षम हो सकता है जो इसे खोजने का उद्देश्य रखता है। पता लगाने के तरीकों में एक वैकल्पिक और विश्वसनीय [[ऑपरेटिंग सिस्टम]], व्यवहार-आधारित विधि, हस्ताक्षर स्कैनिंग, अंतर स्कैनिंग और [[कोर निपात|मेमोरी डंप]] विश्लेषण का उपयोग करना सम्मलित है। हटाना जटिल या व्यावहारिक रूप से असंभव हो सकता है, विशेषकर उन स्थितियों में जहां रूटकिट [[कर्नेल (ऑपरेटिंग सिस्टम)]] में रहता है; ऑपरेटिंग सिस्टम की पुनर्स्थापना समस्या का एकमात्र उपलब्ध समाधान हो सकता है। [[फर्मवेयर]] रूटकिट के साथ काम करते समय, हटाने के लिए [[संगणक धातु सामग्री]] प्रतिस्थापन या विशेष उपकरण की आवश्यकता हो सकती है।
+रूटकिट का पता लगाना कठिन है क्योंकि रूटकिट उस सॉफ़्टवेयर को नष्ट करने में सक्षम हो सकता है जो इसे खोजने का उद्देश्य रखता है। पता लगाने के तरीकों में वैकल्पिक और विश्वसनीय [[ऑपरेटिंग सिस्टम]], व्यवहार-आधारित विधि, हस्ताक्षर स्कैनिंग, अंतर स्कैनिंग और [[कोर निपात|मेमोरी डंप]] विश्लेषण का उपयोग करना सम्मलित है। हटाना जटिल या व्यावहारिक रूप से असंभव हो सकता है, विशेषकर उन स्थितियों में जहां रूटकिट [[कर्नेल (ऑपरेटिंग सिस्टम)]] में रहता है; ऑपरेटिंग सिस्टम की पुनर्स्थापना समस्या का एकमात्र उपलब्ध समाधान हो सकता है। [[फर्मवेयर]] रूटकिट के साथ काम करते समय, हटाने के लिए [[संगणक धातु सामग्री]] प्रतिस्थापन या विशेष उपकरण की आवश्यकता हो सकती है।
 == इतिहास ==
-शब्द रूटकिट या रूट किट मूल रूप से एक यूनिक्स जैसे ऑपरेटिंग सिस्टम के लिए प्रशासनिक उपकरणों के दुर्भावनापूर्ण रूप से संशोधित सेट को संदर्भित करता है जो सुपरयूजर एक्सेस प्रदान करता है।<ref name="Symantec">{{Cite web
+शब्द रूटकिट या रूट किट मूल रूप से यूनिक्स जैसे ऑपरेटिंग सिस्टम के लिए प्रशासनिक उपकरणों के द्वेषपूर्ण रूप से संशोधित सेट को संदर्भित करता है जो सुपरयूजर एक्सेस प्रदान करता है।<ref name="Symantec">{{Cite web
   | url=http://www.symantec.com/avcenter/reference/windows.rootkit.overview.pdf
   | title=विंडोज रूटकिट अवलोकन| publisher=[[NortonLifeLock|Symantec]]
@@ Line 15: / Line 15: @@
   | archive-date=2010-12-14  |archive-url=https://web.archive.org/web/20101214100124/http://www.symantec.com/avcenter/reference/windows.rootkit.overview.pdf
   | url-status=dead
-  }}</ref> यदि एक घुसपैठिया एक रूटकिट के साथ एक सिस्टम पर मानक प्रशासनिक उपकरण को बदल सकता है, तो घुसपैठिया वैध सिस्टम प्रशासक से इन गतिविधियों को छुपाते हुए सिस्टम पर रूट एक्सेस प्राप्त कर सकता है। ये पहली पीढ़ी के रूटकिट [[ओपन सोर्स ट्रिपवायर]] जैसे उपकरणों का उपयोग करके पता लगाने के लिए तुच्छ थे, जिन्हें समान जानकारी तक पहुंचने के लिए समझौता नहीं किया गया था।<ref name="Sparks-Bar">{{cite journal
+  }}</ref> यदि घुसपैठिया रूटकिट के साथ सिस्टम पर मानक प्रशासनिक उपकरण को बदल सकता है, तो घुसपैठिया वैध सिस्टम प्रशासक से इन गतिविधियों को छुपाते हुए सिस्टम पर रूट एक्सेस प्राप्त कर सकता है। ये पहली पीढ़ी के रूटकिट [[ओपन सोर्स ट्रिपवायर]] जैसे उपकरणों का उपयोग करके पता लगाने के लिए तुच्छ थे, जिन्हें समान जानकारी तक पहुंचने के लिए समझौता नहीं किया गया था।<ref name="Sparks-Bar">{{cite journal
   | journal=[[Phrack]]
   | volume=0xb
@@ Line 25: / Line 25: @@
   | date=2005-08-01
   | title=विंडोज रूटकिट डिटेक्शन के लिए बार उठाना
-}}</रेफ><ref name="Harris"/>लेन डेविस और स्टीवन डैक ने [[सन माइक्रोसिस्टम्स]] के [[SunOS]] UNIX ऑपरेटिंग सिस्टम के लिए 1990 में सबसे पहला ज्ञात रूटकिट लिखा था।<ref>{{cite book
+}}</ref><ref name="Harris"/>लेन डेविस और स्टीवन डैक ने [[सन माइक्रोसिस्टम्स]] के [[SunOS]] UNIX ऑपरेटिंग सिस्टम के लिए 1990 में सबसे पहला ज्ञात रूटकिट लिखा था।<ref>{{cite book
   | url=https://books.google.com/books?id=h37q2q3wvcUC&pg=PA276
   | title=OSSEC होस्ट-आधारित घुसपैठ का पता लगाने वाली मार्गदर्शिका| page=276
@@ Line 31: / Line 31: @@
   | year=2008
   | isbn=978-1-59749-240-9
-  |author1=Andrew Hay |author2=Daniel Cid |author3=Rory Bray|via=[[Google Books]] }}</ref> 1983 में [[ट्यूरिंग पुरस्कार]] प्राप्त करने पर दिए गए व्याख्यान में, [[बेल लैब्स]] के [[केन थॉम्पसन]], [[यूनिक्स]] के रचनाकारों में से एक, ने यूनिक्स वितरण में [[सी संकलक]] को नष्ट करने के बारे में सिद्धांत दिया और शोषण पर चर्चा की। संशोधित संकलक यूनिक्स को संकलित करने के प्रयासों का पता लगाएगा <code>login</code> आदेश दें और परिवर्तित कोड उत्पन्न करें जो न मात्र उपयोगकर्ता के सही पासवर्ड को स्वीकार करेगा, बल्कि हमलावर को ज्ञात एक अतिरिक्त [[पिछले दरवाजे (कंप्यूटिंग)]] पासवर्ड भी होगा। इसके अतिरिक्त, कंपाइलर कंपाइलर के एक नए संस्करण को संकलित करने के प्रयासों का पता लगाएगा, और उसी कारनामे को नए कंपाइलर में सम्मिलित करेगा। के लिए स्रोत कोड की समीक्षा <code>login</code> कमांड या अपडेटेड कंपाइलर किसी भी दुर्भावनापूर्ण कोड को प्रकट नहीं करेगा।<ref name="Turing Award Lecture">{{cite journal
+  |author1=Andrew Hay |author2=Daniel Cid |author3=Rory Bray|via=[[Google Books]] }}</ref> 1983 में [[ट्यूरिंग पुरस्कार]] प्राप्त करने पर दिए गए व्याख्यान में, [[बेल लैब्स]] के [[केन थॉम्पसन]], [[यूनिक्स]] के रचनाकारों में से एक, ने यूनिक्स वितरण में [[सी संकलक]] को नष्ट करने के बारे में सिद्धांत दिया और शोषण पर चर्चा की। संशोधित संकलक यूनिक्स को संकलित करने के प्रयासों का पता लगाएगा <code>लॉग इन</code> आदेश दें और परिवर्तित कोड उत्पन्न करें जो न मात्र उपयोगकर्ता के सही पासवर्ड को स्वीकार करेगा, बल्कि हमलावर को ज्ञात अतिरिक्त [[पिछले दरवाजे (कंप्यूटिंग)|बैक डोर]] का पासवर्ड भी होगा। इसके अतिरिक्त, कंपाइलर कंपाइलर के नए संस्करण को संकलित करने के प्रयासों का पता लगाएगा, और उसी कारनामे को नए कंपाइलर में सम्मिलित करेगा। के लिए स्रोत कोड की समीक्षा <code>लॉग इन</code> कमांड या अपडेटेड कंपाइलर किसी भी द्वेषपूर्ण कोड को प्रकट नहीं करेगा।<ref name="Turing Award Lecture">{{cite journal
   | journal=Communications of the ACM
   | title=ट्रस्टिंग ट्रस्ट पर विचार| volume=27
@@ Line 42: / Line 42: @@
   | doi=10.1145/358198.358210
   | doi-access=free
-  }}</ref> यह कारनामा एक रूटकिट के बराबर था।
+  }}</ref> यह कारनामा रूटकिट के बराबर था।
-व्यक्तिगत कंप्यूटर को लक्षित करने वाला पहला प्रलेखित [[कंप्यूटर वायरस]], जिसे 1986 में खोजा गया था, ने स्वयं को छिपाने के लिए [[क्लोकिंग]] तकनीकों का उपयोग किया: ब्रेन (कंप्यूटर वायरस) ने [[प्रारंभिक क्षेत्र]] को पढ़ने के प्रयासों को रोका, और इन्हें डिस्क पर कहीं और पुनर्निर्देशित किया, जहां इसकी एक प्रति थी। मूल बूट सेक्टर रखा गया था।<ref name="McAfee1">{{cite web
+व्यक्तिगत कंप्यूटर को लक्षित करने वाला पहला प्रलेखित [[कंप्यूटर वायरस]], जिसे 1986 में खोजा गया था, ने स्वयं को छिपाने के लिए [[क्लोकिंग]] तकनीकों का उपयोग किया: ब्रेन वायरस ने [[प्रारंभिक क्षेत्र]] को पढ़ने के प्रयासों को रोका, और इन्हें डिस्क पर कहीं और पुनर्निर्देशित किया, जहां मूल बूट सेक्टर की प्रति रखी गई थी<ref name="McAfee1">{{cite web
   | url=http://www.mcafee.com/us/local_content/white_papers/threat_center/wp_akapoor_rootkits1_en.pdf
   | title=रूटकिट्स, 3 का भाग 1: बढ़ता हुआ खतरा| publisher=[[McAfee]]
@@ Line 50: / Line 50: @@
   | archive-url=https://web.archive.org/web/20060823090948/http://www.mcafee.com/us/local_content/white_papers/threat_center/wp_akapoor_rootkits1_en.pdf
   | archive-date=2006-08-23
-}}</ref>
+}}</ref> समय के साथ, डॉस-वायरस क्लोकिंग विधियां अधिक परिष्कृत हो गईं। उन्नत तकनीकों में फाइलों में अनधिकृत संशोधनों को छिपाने के लिए लो-लेवल डिस्क [[INT 13H]] BIOS [[रुकावट डालना]] कॉल को हुक करना सम्मलित है।<ref name="McAfee1"/>
-समय के साथ, डॉस-वायरस क्लोकिंग विधियां अधिक परिष्कृत हो गईं। उन्नत तकनीकों में फाइलों में अनधिकृत संशोधनों को छिपाने के लिए लो-लेवल डिस्क [[INT 13H]] BIOS [[रुकावट डालना]] कॉल को हुक करना सम्मलित है।<ref name="McAfee1"/>
-[[विंडोज एनटी]] ऑपरेटिंग सिस्टम के लिए पहला दुर्भावनापूर्ण रूटकिट 1999 में दिखाई दिया: एनटीआरओटकिट नामक एक ट्रोजन जिसे [[ग्रेग होगलंड]] द्वारा बनाया गया था।<ref name="Hoglund"/>इसके बाद 2003 में हैकर डिफेंडर द्वारा किया गया।<ref name="McAfee1"/>पहला रूटकिट लक्ष्यीकरण [[macOS]] 2009 में सामने आया,<ref>{{cite conference
+[[विंडोज एनटी]] ऑपरेटिंग सिस्टम के लिए पहला द्वेषपूर्ण रूटकिट 1999 में दिखाई दिया: एनटीआरओटकिट नामक ट्रोजन जिसे [[ग्रेग होगलंड]] द्वारा बनाया गया था।<ref name="Hoglund"/>इसके बाद 2003 में हैकर डिफेंडर द्वारा किया गया।<ref name="McAfee1"/>पहला रूटकिट लक्ष्यीकरण [[macOS]] 2009 में सामने आया,<ref>{{cite conference
   | url=https://www.blackhat.com/presentations/bh-usa-09/DAIZOVI/BHUSA09-Daizovi-AdvOSXRootkits-SLIDES.pdf
   | title=उन्नत मैक ओएस एक्स रूटकिट्स| first=Dino
@@ Line 67: / Line 66: @@
   | publisher=[[NortonLifeLock|Symantec]]
 }}</ref>
 ===सोनी बीएमजी कॉपी प्रोटेक्शन रूटकिट स्कैंडल===
 [[File:RootkitRevealer.png|thumb|right|[[रूटकिट रिवीलर]] का स्क्रीनशॉट, [[विस्तारित कॉपी सुरक्षा]] रूटकिट द्वारा छिपी हुई फाइलों को दिखा रहा है]]
-{{Main|Sony BMG copy protection rootkit scandal}}
+{{Main|सोनी बीएमजी कॉपी प्रोटेक्शन रूटकिट स्कैंडल}}
-में, [[Sony BMG]] ने [[कॉपी सुरक्षा]] और [[डिजिटल अधिकार प्रबंधन]] सॉफ़्टवेयर के साथ [[कॉम्पैक्ट डिस्क]] प्रकाशित की, जिसे विस्तारित कॉपी सुरक्षा कहा जाता है, जिसे सॉफ़्टवेयर कंपनी फ़र्स्ट 4 इंटरनेट द्वारा बनाया गया है। सॉफ्टवेयर में एक म्यूजिक प्लेयर सम्मलित था परंतु चुपचाप एक रूटकिट स्थापित किया गया था जो सीडी तक पहुंचने के लिए उपयोगकर्ता की क्षमता को सीमित करता था।<ref name="CA-XCP">{{cite web
+में, [[Sony BMG]] ने [[कॉपी सुरक्षा]] और [[डिजिटल अधिकार प्रबंधन]] सॉफ़्टवेयर के साथ [[कॉम्पैक्ट डिस्क]] प्रकाशित की, जिसे विस्तारित कॉपी सुरक्षा कहा जाता है, जिसे सॉफ़्टवेयर कंपनी फ़र्स्ट 4 इंटरनेट द्वारा बनाया गया है। सॉफ्टवेयर में म्यूजिक प्लेयर सम्मलित था परंतु चुपचाप रूटकिट स्थापित किया गया था जो सीडी तक पहुंचने के लिए उपयोगकर्ता की क्षमता को सीमित करता था।<ref name="CA-XCP">{{cite web
   | url=http://www.ca.com/us/securityadvisor/pest/pest.aspx?id=453096362
   | publisher=[[Computer Associates]]
@@ Line 80: / Line 77: @@
   |archive-date=2010-08-18
   |url-status=dead
-}}</ref> सॉफ्टवेयर इंजीनियर [[मार्क रोसिनोविच]], जिन्होंने रूटकिट डिटेक्शन टूल रूटकिटरिवेलर बनाया था, ने अपने एक कंप्यूटर पर रूटकिट की खोज की।<ref name="McAfee1"/>आगामी घोटाले ने रूटकिट्स के बारे में जनता की जागरूकता बढ़ा दी।<ref name="markrussinovich">{{cite web
+}}</ref> सॉफ्टवेयर इंजीनियर [[मार्क रोसिनोविच]], जिन्होंने रूटकिट डिटेक्शन टूल रूटकिटरिवेलर बनाया था, ने अपने कंप्यूटर पर रूटकिट की खोज की।<ref name="McAfee1"/>आगामी घोटाले ने रूटकिट्स के बारे में जनता की जागरूकता बढ़ा दी।<ref name="markrussinovich">{{cite web
   | url=https://blogs.technet.microsoft.com/markrussinovich/2005/10/31/sony-rootkits-and-digital-rights-management-gone-too-far/
   | title=सोनी, रूटकिट्स और डिजिटल राइट्स मैनेजमेंट बहुत दूर चला गया| last=Russinovich
@@ Line 89: / Line 86: @@
   | date=2005-10-31
   | access-date=2010-08-16
-}}</ref> स्वयं को छिपाने के लिए, रूटकिट उपयोगकर्ता को $sys$ से शुरू होने वाली किसी भी फ़ाइल से छुपाता है। रोसिनोविच की रिपोर्ट के तुरंत बाद, मैलवेयर सामने आया जिसने प्रभावित सिस्टम की भेद्यता का लाभ उठाया।<ref name="McAfee1"/>[[बीबीसी]] के एक विश्लेषक ने इसे [[जनसंपर्क]] दुःस्वप्न कहा।<ref>{{cite news
+}}</ref> स्वयं को छिपाने के लिए, रूटकिट उपयोगकर्ता को $sys$ से शुरू होने वाली किसी भी फ़ाइल से छुपाता है। रोसिनोविच की रिपोर्ट के तुरंत बाद, मैलवेयर सामने आया जिसने प्रभावित सिस्टम की भेद्यता का लाभ उठाया।<ref name="McAfee1"/>[[बीबीसी]] के विश्लेषक ने इसे [[जनसंपर्क]] दुःस्वप्न कहा।<ref>{{cite news
   | url=http://news.bbc.co.uk/2/hi/technology/4456970.stm
   | title=सोनी की दीर्घकालिक रूटकिट सीडी संकट| date= 2005-11-21
   | access-date=2008-09-15
   | work=[[BBC News]]
-}}</ref> सोनी बीएमजी ने रूटकिट को [[अनइंस्टॉलर]] करने के लिए [[पैच (कंप्यूटिंग)]] जारी किया, परंतु इसने उपयोगकर्ताओं को और भी गंभीर भेद्यता के लिए उजागर किया।<ref name=felton>{{cite web
+}}</ref> सोनी बीएमजी ने रूटकिट को [[अनइंस्टॉलर]] करने के लिए [[पैच (कंप्यूटिंग)|पैच]] जारी किया, परंतु इसने उपयोगकर्ताओं को और भी गंभीर भेद्यता के लिए उजागर किया।<ref name=felton>{{cite web
   | url=https://freedom-to-tinker.com/blog/felten/sonys-web-based-uninstaller-opens-big-security-hole-sony-recall-discs/
   | title=सोनी का वेब-आधारित अनइंस्टालर एक बड़ा सुरक्षा छेद खोलता है; सोनी टू रिकॉल डिस्क| date=2005-11-15
   | first=Ed
   | last=Felton
-}}</ref> कंपनी ने अंततः सीडी को वापस बुला लिया। संयुक्त राज्य अमेरिका में, सोनी बीएमजी के खिलाफ एक [[वर्ग कार्रवाई]] | क्लास-एक्शन मुकदमा लाया गया था।<ref>{{cite journal
+}}</ref> कंपनी ने अंततः सीडी को वापस बुला लिया। संयुक्त राज्य अमेरिका में, सोनी बीएमजी के खिलाफ [[वर्ग कार्रवाई|क्लास-एक्शन]] मुकदमा लगाया था।<ref>{{cite journal
   | url = https://www.newscientist.com/article/dn8307
   | title = सोनी बीएमजी ने म्यूजिक सीडी पर क्लोकिंग सॉफ्टवेयर पर मुकदमा दायर किया| last = Knight
@@ Line 107: / Line 104: @@
   | access-date = 2010-11-21
 }}</ref>
 ===ग्रीक वायरटैपिंग मामला 2004–05===
-{{Main|Greek wiretapping case 2004–05}}
+{{Main|ग्रीक वायरटैपिंग केस 2004-05}}
 ग्रीक वायरटैपिंग मामला 2004–05, जिसे ग्रीक वाटरगेट भी कहा जाता है,<ref>{{cite news
   | first = Dina
@@ Line 120: / Line 115: @@
   | url=http://www.tiscali.co.uk/news/newswire.php/news/reuters/2006/02/03/odd/34greekwatergate34scandalsendspoliticalshockwaves.html
   | date=September 2012
-}}</ref> वोडाफोन [[यूनान]] नेटवर्क पर 100 से अधिक [[चल दूरभाष]]ों की अवैध [[टेलीफोन टैपिंग]] सम्मलित थी, जो ज्यादातर ग्रीस सरकार के सदस्यों और शीर्ष-श्रेणी के सिविल सेवकों के थे। नल अगस्त 2004 की शुरुआत के पास शुरू हुए और अपराधियों की पहचान का पता लगाए बिना मार्च 2005 में हटा दिए गए। घुसपैठियों ने एरिक्सन के [[एक्स टेलीफोन एक्सचेंज]] को निशाना बनाते हुए एक रूटकिट स्थापित किया। IEEE स्पेक्ट्रम के अनुसार, यह पहली बार था जब किसी विशेष प्रयोजन प्रणाली पर रूटकिट देखा गया था, इस मामले में एरिक्सन टेलीफोन स्विच।<ref name="ieee">{{cite news|author1=Vassilis Prevelakis|author2=Diomidis Spinellis|date=July 2007|title=एथेंस मामला|url=https://spectrum.ieee.org/telecom/security/the-athens-affair/0}}</ref> रूटकिट को एक्सचेंज की मेमोरी को पैच करने के लिए डिज़ाइन किया गया था जब यह चल रहा था, ऑडिट लॉग को अक्षम करते हुए [[वायरटैपिंग]] को सक्षम करें, सक्रिय प्रक्रियाओं और सक्रिय डेटा ब्लॉक को सूचीबद्ध करने वाले कमांड को पैच करें और डेटा ब्लॉक [[अंततः,]] सत्यापन कमांड को संशोधित करें। एक बैकडोर ने एक ऑपरेटर को [[sysadmin]] स्थिति के साथ एक्सचेंज के लेनदेन लॉग, अलार्म और निगरानी क्षमता से संबंधित एक्सेस कमांड को निष्क्रिय करने की अनुमति दी।<ref name="ieee"/>घुसपैठियों द्वारा एक दोषपूर्ण अद्यतन स्थापित करने के बाद रूटकिट की खोज की गई, जिसके कारण [[एसएमएस]] पाठ वितरित नहीं हो पाए, जिससे एक स्वचालित विफलता रिपोर्ट उत्पन्न हुई। एरिक्सन इंजीनियरों को गलती की जांच करने के लिए बुलाया गया और रूटकिट और अवैध निगरानी सॉफ्टवेयर के साथ निगरानी किए जा रहे फोन नंबरों की सूची वाले छिपे हुए डेटा ब्लॉक की खोज की।
+}}</ref> वोडाफोन [[यूनान]] नेटवर्क पर 100 से अधिक [[चल दूरभाष]] की अवैध [[टेलीफोन टैपिंग]] सम्मलित थी, जो ज्यादातर ग्रीस सरकार के सदस्यों और शीर्ष-श्रेणी के सिविल सेवकों के थे। उन्होंने अगस्त 2004 की प्रारंभ के पास शुरू हुए और अपराधियों की पहचान का पता लगाए बिना मार्च 2005 में हटा दिए गए। घुसपैठियों ने एरिक्सन के [[एक्स टेलीफोन एक्सचेंज]] को निशाना बनाते हुए रूटकिट स्थापित किया। IEEE स्पेक्ट्रम के अनुसार, यह पहली बार था जब किसी विशेष प्रयोजन प्रणाली पर रूटकिट देखा गया था, इस मामले में एरिक्सन टेलीफोन स्विच।<ref name="ieee">{{cite news|author1=Vassilis Prevelakis|author2=Diomidis Spinellis|date=July 2007|title=एथेंस मामला|url=https://spectrum.ieee.org/telecom/security/the-athens-affair/0}}</ref> रूटकिट को एक्सचेंज की मेमोरी को पैच करने के लिए डिज़ाइन किया गया था जब यह चल रहा था, ऑडिट लॉग को अक्षम करते हुए [[वायरटैपिंग]] को सक्षम करें, सक्रिय प्रक्रियाओं और सक्रिय डेटा ब्लॉक को सूचीबद्ध करने वाले कमांड को पैच करें और डेटा ब्लॉक [[अंततः,]] सत्यापन कमांड को संशोधित करें। बैकडोर ने ऑपरेटर को [[sysadmin|स्य्सएडमिन]] स्थिति के साथ एक्सचेंज के लेनदेन लॉग, अलार्म और निगरानी क्षमता से संबंधित एक्सेस कमांड को निष्क्रिय करने की अनुमति दी।<ref name="ieee"/>घुसपैठियों द्वारा दोषपूर्ण अद्यतन स्थापित करने के बाद रूटकिट की खोज की गई, जिसके कारण [[एसएमएस]] पाठ वितरित नहीं हो पाए, जिससे स्वचालित विफलता रिपोर्ट उत्पन्न हुई। एरिक्सन इंजीनियरों को गलती की जांच करने के लिए बुलाया गया और रूटकिट और अवैध निगरानी सॉफ्टवेयर के साथ निगरानी किए जा रहे फोन नंबरों की सूची वाले छिपे हुए डेटा ब्लॉक की खोज की।
-== उपयोग करता है ==
+== उपयोग ==
-आधुनिक रूटकिट पहुँच को उन्नत नहीं करते हैं,<ref name="Symantec"/>बल्कि चुपके क्षमताओं को जोड़कर एक और सॉफ़्टवेयर पेलोड को ज्ञानी बनाने के लिए उपयोग किया जाता है।<ref name="Hoglund">{{cite book
+आधुनिक रूटकिट पहुँच को उन्नत नहीं करते हैं,<ref name="Symantec"/> बल्कि चोरी छुपे क्षमताओं को जोड़कर और सॉफ़्टवेयर पेलोड को अनभिज्ञेय बनाने के लिए उपयोग किया जाता है।<ref name="Hoglund">{{cite book
   | url=https://books.google.com/books?id=fDxg1W3eT2gC
   | title=रूटकिट्स: विंडोज कर्नेल को सबवर्ट करना|author1=Greg Hoglund |author2=James Butler | publisher=Addison-Wesley
@@ Line 130: / Line 125: @@
   | isbn=978-0-321-29431-9
   |via=[[Google Books]]
-}}</ref> अधिकांश रूटकिट को मालवेयर के रूप में वर्गीकृत किया जाता है, क्योंकि जिन पेलोड के साथ उन्हें बंडल किया जाता है वे दुर्भावनापूर्ण होते हैं। उदाहरण के लिए, एक पेलोड उपयोगकर्ता के पासवर्ड, [[क्रेडिट कार्ड]] की जानकारी, कंप्यूटिंग संसाधनों को गुप्त रूप से चुरा सकता है या अन्य अनधिकृत गतिविधियों का संचालन कर सकता है। रूटकिट की एक छोटी संख्या उनके उपयोगकर्ताओं द्वारा उपयोगिता अनुप्रयोगों के रूप में मानी जा सकती है: उदाहरण के लिए, एक रूटकिट [[सीडी रॉम]]-इम्यूलेशन ड्राइवर को क्लोक कर सकता है, जिससे [[वीडियो गेम]] उपयोगकर्ताओं को प्रतिलिपि सुरक्षा को हराने की अनुमति मिलती है#एंटी-पाइरेसी|एंटी-पाइरेसी उपाय जिनमें प्रविष्टि की आवश्यकता होती है मूल स्थापना मीडिया को भौतिक ऑप्टिकल ड्राइव में यह सत्यापित करने के लिए कि सॉफ़्टवेयर वैध रूप से खरीदा गया था।
+}}</ref> अधिकांश रूटकिट को मालवेयर के रूप में वर्गीकृत किया जाता है, क्योंकि जिन पेलोड के साथ उन्हें बंडल किया जाता है वे द्वेषपूर्ण होते हैं। उदाहरण के लिए, पेलोड उपयोगकर्ता के पासवर्ड, [[क्रेडिट कार्ड]] की जानकारी, कंप्यूटिंग संसाधनों को गुप्त रूप से चुरा सकता है या अन्य अनधिकृत गतिविधियों का संचालन कर सकता है। रूटकिट की छोटी संख्या उनके उपयोगकर्ताओं द्वारा उपयोगिता अनुप्रयोगों के रूप में मानी जा सकती है: उदाहरण के लिए, रूटकिट [[सीडी रॉम]]-इम्यूलेशन ड्राइवर को लंबा कर सकता है, वीडियो गेम उपयोगकर्ताओं को एंटी-पाइरेसी उपायों को हराने की अनुमति देना, जिसके लिए मूल स्थापना मीडिया को भौतिक ऑप्टिकल ड्राइव में सम्मिलित करने की आवश्यकता होती है ताकि यह सत्यापित किया जा सके कि सॉफ़्टवेयर वैध रूप से खरीदा गया था।
 रूटकिट्स और उनके पेलोड के कई उपयोग हैं:
-*एक हमलावर को पिछले दरवाजे (कंप्यूटिंग) के माध्यम से पूर्ण पहुंच प्रदान करें, अनधिकृत पहुंच की अनुमति दें, उदाहरण के लिए, दस्तावेज़ों को चुराना या गलत करना। इसे पूरा करने के तरीकों में से एक लॉगिन तंत्र को हटाना है, जैसे कि यूनिक्स जैसी प्रणालियों पर / बिन / लॉगिन प्रोग्राम या विंडोज़ पर ग्राफिकल पहचान और [[प्रमाणीकरण]]। प्रतिस्थापन सामान्य रूप से कार्य करता प्रतीत होता है, परंतु एक गुप्त लॉगिन संयोजन को भी स्वीकार करता है जो एक हमलावर को मानक प्रमाणीकरण और प्राधिकरण तंत्र को दरकिनार करते हुए प्रशासनिक विशेषाधिकारों के साथ सिस्टम तक सीधी पहुंच की अनुमति देता है।
+*एक हमलावर को बैक डोर के माध्यम से पूर्ण पहुंच प्रदान करें,अनधिकृत पहुंच की अनुमति दें, उदाहरण के लिए, दस्तावेज़ों को चुराना या गलत करना। इसे पूरा करने के तरीकों में से लॉगिन तंत्र को हटाना है, जैसे कि यूनिक्स जैसी प्रणालियों पर / बिन / लॉगिन प्रोग्राम या विंडोज़ पर ग्राफिकल पहचान और [[प्रमाणीकरण]] है। प्रतिस्थापन सामान्य रूप से कार्य करता प्रतीत होता है, परंतु गुप्त लॉगिन संयोजन को भी स्वीकार करता है जो हमलावर को मानक प्रमाणीकरण और प्राधिकरण तंत्र को दरकिनार करते हुए प्रशासनिक विशेषाधिकारों के साथ सिस्टम तक सीधी पहुंच की अनुमति देता है।
-*अन्य मैलवेयर छुपाएं, विशेष रूप से पासवर्ड-चोरी करने वाले [[कीस्ट्रोक लॉगिंग]] और कंप्यूटर वायरस।<ref>{{cite journal
+*अन्य मैलवेयर, विशेष रूप से पासवर्ड-चोरी करने वाले [[कीस्ट्रोक लॉगिंग]] और कंप्यूटर वायरस है।<ref>{{cite journal
   |last        = Russinovich
   |first       = Mark
@@ Line 147: / Line 142: @@
   |archive-date = 2012-09-18
 }}</ref>
-* अन्य कंप्यूटरों पर हमलों के लिए समझौता मशीन को एक [[ज़ोंबी कंप्यूटर]] के रूप में उपयुक्त करें। (हमला हमलावर के सिस्टम के अतिरिक्त समझौता किए गए सिस्टम या नेटवर्क से उत्पन्न होता है।) ज़ोंबी कंप्यूटर सामान्यतः बड़े [[botnet]] के सदस्य होते हैं जो अन्य चीजों के साथ-डिनायल-ऑफ-सर्विस हमलों को लॉन्च कर सकते हैं, [[ईमेल]] [[स्पैम (इलेक्ट्रॉनिक)]] वितरित कर सकते हैं। और क्लिक धोखाधड़ी करें।<ref>{{cite web|url=https://www.washingtonpost.com/politics/2021/07/01/cybersecurity-202-dojs-future-is-disrupting-hackers-not-just-indicting-them/|title=साइबर सुरक्षा 202: DOJ का भविष्य हैकर्स को बाधित करने में है, न कि केवल उन पर अभियोग लगाने में|last=Marks|first=Joseph|newspaper=[[The Washington Post]]|date=July 1, 2021|access-date=July 24, 2021}}</ref>
+* अन्य कंप्यूटरों पर हमलों के लिए समझौता मशीन को [[ज़ोंबी कंप्यूटर]] के रूप में उपयुक्त करें। (हमला हमलावर के सिस्टम के अतिरिक्त समझौता किए गए सिस्टम या नेटवर्क से उत्पन्न होता है।) ज़ोंबी कंप्यूटर सामान्यतः बड़े [[botnet|बॉटनेट्स]] के सदस्य होते हैं जो अन्य चीजों के साथ-डिनायल-ऑफ-सर्विस हमलों को लॉन्च कर सकते हैं, [[ईमेल]] [[स्पैम (इलेक्ट्रॉनिक)|स्पैम]] वितरित करें, और क्लिक धोखाधड़ी करें।<ref>{{cite web|url=https://www.washingtonpost.com/politics/2021/07/01/cybersecurity-202-dojs-future-is-disrupting-hackers-not-just-indicting-them/|title=साइबर सुरक्षा 202: DOJ का भविष्य हैकर्स को बाधित करने में है, न कि केवल उन पर अभियोग लगाने में|last=Marks|first=Joseph|newspaper=[[The Washington Post]]|date=July 1, 2021|access-date=July 24, 2021}}</ref>
-कुछ उदाहरणों में, रूटकिट वांछित कार्यक्षमता प्रदान करता है, और कंप्यूटर उपयोगकर्ता की ओर से जानबूझकर स्थापित किया जा सकता है:
+कुछ उदाहरणों में, रूटकिट वांछित कार्यक्षमता प्रदान करता है, और कंप्यूटर उपयोगकर्ता की ओर से अभिप्रायपूर्वक स्थापित किया जा सकता है:
-* हमलों का पता लगाएं, उदाहरण के लिए, हनीपोट (कंप्यूटिंग) में।<ref>{{Cite web
+* हमलों का पता लगाएं, उदाहरण के लिए, हनीपोट में।<ref>{{Cite web
   | url=http://www.vividmachines.com/download/icsicceid.pdf
   | title=हनीपोट-आधारित मालवेयर डिटेक्शन के लिए रूटकिट प्रौद्योगिकी का उपयोग करना| author=Steve Hanna
@@ Line 167: / Line 162: @@
   | archive-date=14 August 2006
   | url-status=dead
-  }}</ref> एल्कोहल 120% और [[डेमोन टूल्स]] गैर-विरोधी रूटकिट के व्यावसायिक उदाहरण हैं जिनका उपयोग [[SafeDisc]] और [[SecuROM]] जैसे कॉपी-प्रोटेक्शन मैकेनिज्म को हराने के लिए किया जाता है।<ref>{{cite journal|url=https://books.google.com/books?id=5-oDAAAAMBAJ&pg=PA89|title=सिमेंटेक अपने स्वयं के रूटकिट के लिए अद्यतन जारी करता है|page=89|journal=HWM|year=2006|issue=March|via=[[Google Books]]}}</ref> Kaspersky एंटी-वायरस स्वयं को दुर्भावनापूर्ण कार्यों से बचाने के लिए रूटकिट जैसी तकनीकों का भी उपयोग करता है। यह सिस्टम गतिविधि को बाधित करने के लिए अपने स्वयं के [[डिवाइस ड्राइवर]] को लोड करता है, और फिर अन्य प्रक्रियाओं को स्वयं को नुकसान पहुँचाने से रोकता है। इसकी प्रक्रियाएँ छिपी नहीं हैं, परंतु मानक विधियों द्वारा समाप्त नहीं की जा सकती हैं।
+  }}</ref> एल्कोहल 120% और [[डेमोन टूल्स]] गैर-विरोधी रूटकिट के व्यावसायिक उदाहरण हैं जिनका उपयोग [[SafeDisc]] और [[SecuROM]] जैसे कॉपी-प्रोटेक्शन मैकेनिज्म को हराने के लिए किया जाता है।<ref>{{cite journal|url=https://books.google.com/books?id=5-oDAAAAMBAJ&pg=PA89|title=सिमेंटेक अपने स्वयं के रूटकिट के लिए अद्यतन जारी करता है|page=89|journal=HWM|year=2006|issue=March|via=[[Google Books]]}}</ref> कैसपर्सकी एंटी-वायरस स्वयं को द्वेषपूर्ण कार्यों से बचाने के लिए रूटकिट जैसी तकनीकों का भी उपयोग करता है। यह सिस्टम गतिविधि को बाधित करने के लिए अपने स्वयं के [[डिवाइस ड्राइवर]] को लोड करता है, और फिर अन्य प्रक्रियाओं को स्वयं को नुकसान पहुँचाने से रोकता है। इसकी प्रक्रियाएँ छिपी नहीं हैं, परंतु मानक विधियों द्वारा समाप्त नहीं की जा सकती हैं।
-*एंटी-थेफ्ट प्रोटेक्शन: लैपटॉप में BIOS-आधारित रूटकिट सॉफ्टवेयर हो सकता है जो समय-समय पर एक केंद्रीय प्राधिकरण को रिपोर्ट करेगा, जिससे लैपटॉप की निगरानी की जा सकेगी, चोरी होने की स्थिति में सूचना को अक्षम या मिटा दिया जा सकेगा।<ref name="Ortega">{{cite conference
+*एंटी-थेफ्ट प्रोटेक्शन: लैपटॉप में BIOS-आधारित रूटकिट सॉफ्टवेयर हो सकता है जो समय-समय पर केंद्रीय प्राधिकरण को रिपोर्ट करेगा, जिससे लैपटॉप की निगरानी की जा सकेगी, चोरी होने की स्थिति में सूचना को अक्षम या मिटा दिया जा सकेगा।<ref name="Ortega">{{cite conference
   | url = https://www.blackhat.com/presentations/bh-usa-09/ORTEGA/BHUSA09-Ortega-DeactivateRootkit-PAPER.pdf
   | title = रूटकिट को निष्क्रिय करें: BIOS विरोधी चोरी प्रौद्योगिकियों पर हमला| last1 = Ortega
@@ Line 182: / Line 177: @@
   | location = Boston, MA
 }}</ref>
-*[[Microsoft उत्पाद सक्रियण]] को दरकिनार करना<ref>{{cite web
+*[[Microsoft उत्पाद सक्रियण|माइक्रोसॉफ्ट उत्पाद सक्रियण]] को दरकिनार करना<ref>{{cite web
   |url         = http://www.stoned-vienna.com/downloads/The%20Rise%20of%20MBR%20Rootkits%20&%20Bootkits%20in%20the%20Wild.pdf
   |date        = 2009-09-02
@@ Line 193: / Line 188: @@
   |archive-date = 2011-07-16
 }}</ref>
 == प्रकार ==
-{{Further|Ring (computer security)}}
+{{Further|रिंग (कंप्यूटर सुरक्षा)}}
-कम से कम 69 प्रकार के रूटकिट हैं, फ़र्मवेयर में निम्नतम स्तर (उच्चतम विशेषाधिकारों के साथ) से लेकर [[कर्नेल (कंप्यूटर विज्ञान)]] में संचालित होने वाले कम से कम विशेषाधिकार प्राप्त उपयोगकर्ता-आधारित वेरिएंट तक। इनमें से हाइब्रिड संयोजन फैले हुए हो सकते हैं, उदाहरण के लिए, उपयोगकर्ता मोड और कर्नेल मोड।<ref name="anson-forensics"/>
+रूटकिट कम से कम 69 प्रकार के रूटकिट हैं, फ़र्मवेयर में निम्नतम स्तर (उच्चतम विशेषाधिकारों के साथ) से लेकर [[कर्नेल (कंप्यूटर विज्ञान)|कर्नेल]] में संचालित होने वाले कम से कम विशेषाधिकार प्राप्त उपयोगकर्ता-आधारित वेरिएंट तक। इनमें से हाइब्रिड संयोजन फैले हुए हो सकते हैं, उदाहरण के लिए, उपयोगकर्ता मोड और कर्नेल मोड।<ref name="anson-forensics"/>
+=== उपयोगकर्ता मोड ===
+[[File:CPU ring scheme.svg|thumb|right|कंप्यूटर सुरक्षा [[रिंग (कंप्यूटर सुरक्षा)]] (ध्यान दें कि हाइपरविजर|रिंग -1 नहीं दिखाया गया है)]]उपयोक्ता-मोड रूटकिट रिंग में चलते हैं, अन्य अनुप्रयोगों के साथ-साथ निम्न-स्तरीय सिस्टम प्रक्रियाओं के अतिरिक्त उपयोगकर्ता के रूप में अन्य अनुप्रयोगों के साथ, रिंग 3 में चलते हैं।<ref name="McAfee2"/>एप्लिकेशन प्रोग्रामिंग इंटरफेस (एपीआई) के मानक व्यवहार को रोकने और संशोधित करने के लिए उनके पास कई संभावित इंस्टॉलेशन वैक्टर हैं। कुछ अन्य प्रक्रियाओं में [[गतिशील लिंकर]] लाइब्रेरी (जैसे विंडोज़ पर डायनेमिक-लिंक लाइब्रेरी .DLL फ़ाइल, या macOS पर .dylib फ़ाइल ) इंजेक्ट करते हैं, और इस प्रकार किसी भी लक्षित प्रक्रिया के अंदर इसे धोखा देने के लिए निष्पादित करने में सक्षम हैं; अन्य पर्याप्त विशेषाधिकारों के साथ लक्ष्य अनुप्रयोग की स्मृति को अधिलेखित कर देते हैं इनमें इंजेक्शन तंत्र में सम्मलित हैं:<ref name="McAfee2"/>
+विक्रेता द्वारा आपूर्ति किए गए एप्लिकेशन एक्सटेंशन का उपयोग। उदाहरण के लिए, [[विंडोज़ एक्सप्लोरर]] में सार्वजनिक इंटरफेस हैं जो तीसरे पक्ष को इसकी कार्यक्षमता बढ़ाने की अनुमति देते हैं।
-=== उपयोगकर्ता मोड ===
-[[File:CPU ring scheme.svg|thumb|right|कंप्यूटर सुरक्षा [[रिंग (कंप्यूटर सुरक्षा)]] (ध्यान दें कि हाइपरविजर|रिंग -1 नहीं दिखाया गया है)]]उपयोक्ता-मोड रूटकिट रिंग (कंप्यूटर सुरक्षा) में चलते हैं, अन्य अनुप्रयोगों के साथ-साथ निम्न-स्तरीय सिस्टम प्रक्रियाओं के अतिरिक्त उपयोगकर्ता के रूप में।<ref name="McAfee2"/>एप्लिकेशन प्रोग्रामिंग इंटरफेस (एपीआई) के मानक व्यवहार को रोकने और संशोधित करने के लिए उनके पास कई संभावित इंस्टॉलेशन वैक्टर हैं। कुछ अन्य प्रक्रियाओं में [[गतिशील लिंकर]] लाइब्रेरी (जैसे डायनेमिक-लिंक लाइब्रेरी|.DLL फ़ाइल विंडोज़ पर, या .dylib फ़ाइल macOS पर) इंजेक्ट करते हैं, और इस तरह इसे स्पूफ करने के लिए किसी भी लक्ष्य प्रक्रिया के अंदर निष्पादित करने में सक्षम होते हैं; अन्य पर्याप्त विशेषाधिकारों के साथ लक्ष्य अनुप्रयोग की स्मृति को अधिलेखित कर देते हैं। इंजेक्शन तंत्र में सम्मलित हैं:<ref name="McAfee2"/>*विक्रेता द्वारा आपूर्ति किए गए एप्लिकेशन एक्सटेंशन का उपयोग। उदाहरण के लिए, [[विंडोज़ एक्सप्लोरर]] में सार्वजनिक इंटरफेस हैं जो तीसरे पक्ष को इसकी कार्यक्षमता बढ़ाने की अनुमति देते हैं।
 * संदेश पारित करने का अवरोधन।
 * डिबगर्स।
-* भेद्यता का शोषण (कंप्यूटिंग)।
+* भेद्यता का शोषण ।
-* सामान्यतः उपयोग किए जाने वाले एपीआई के फंक्शन हुकिंग या पैचिंग, उदाहरण के लिए, एक फाइल सिस्टम पर चलने वाली प्रक्रिया या फाइल को छिपाने के लिए।<ref>{{cite journal
+* {{quote|text=... चूंकि उपयोगकर्ता मोड एप्लिकेशन सभी अपने स्वयं के मेमोरी स्पेस में चलते हैं, रूटकिट को प्रत्येक चल रहे एप्लिकेशन के मेमोरी स्पेस में इस पैचिंग को करने की आवश्यकता होती है। इसके अलावा, रूटकिट को किसी भी नए एप्लिकेशन के लिए सिस्टम की निगरानी करने की आवश्यकता होती है जो पूरी तरह से निष्पादित होने से पहले उन प्रोग्रामों की मेमोरी स्पेस को निष्पादित और पैच करता है।|sign=विंडोज रूटकिट अवलोकन|source=Symantec<ref name="Symantec"/>}}सामान्यतः उपयोग किए जाने वाले एपीआई के फंक्शन हुकिंग या पैचिंग, उदाहरण के लिए, फाइल सिस्टम पर चलने वाली प्रक्रिया या फाइल को छिपाने के लिए।<ref>{{cite journal
   | journal=[[Phrack]]
   | url=http://www.phrack.org/issues.html?issue=62&id=12
@@ Line 213: / Line 205: @@
   | title= NTIllusion: एक पोर्टेबल Win32 यूजरलैंड रूटकिट| author=Kdm
 }}</ref>
-{{quote|text=...since user mode applications all run in their own memory space, the rootkit needs to perform this patching in the memory space of every running application. In addition, the rootkit needs to monitor the system for any new applications that execute and patch those programs' memory space before they fully execute.|sign=Windows Rootkit Overview|source=Symantec<ref name="Symantec"/>}}
 === कर्नेल मोड ===
-कर्नेल-मोड रूटकिट उच्चतम ऑपरेटिंग सिस्टम विशेषाधिकारों (रिंग (कंप्यूटर सुरक्षा)) के साथ कोड जोड़कर या कर्नेल (कंप्यूटर विज्ञान) और संबंधित डिवाइस ड्राइवर दोनों सहित कोर ऑपरेटिंग सिस्टम के भागों को बदलकर चलते हैं।{{citation needed|date=July 2021}} अधिकांश ऑपरेटिंग सिस्टम कर्नेल-मोड डिवाइस ड्राइवरों का समर्थन करते हैं, जो ऑपरेटिंग सिस्टम के समान विशेषाधिकारों के साथ निष्पादित होते हैं। जैसे, कई कर्नेल-मोड रूटकिट डिवाइस ड्राइवर या लोड करने योग्य मॉड्यूल के रूप में विकसित किए जाते हैं, जैसे [[लिनक्स]] में [[मॉड्यूल (लिनक्स)]] या [[माइक्रोसॉफ़्ट विंडोज़]] में डिवाइस ड्राइवर। रूटकिट के इस वर्ग के पास अप्रतिबंधित सुरक्षा पहुंच है, परंतु लिखना अधिक कठिन है।<ref name="UAMT"/>जटिलता बग को सामान्य बनाती है, और कर्नेल स्तर पर संचालन करने वाले कोड में कोई भी बग सिस्टम स्थिरता को गंभीर रूप से प्रभावित कर सकता है, जिससे रूटकिट की खोज हो सकती है।<ref name="UAMT"/>पहले व्यापक रूप से ज्ञात कर्नेल रूटकिट्स में से एक को विंडोज एनटी 4.0 के लिए विकसित किया गया था और 1999 में ग्रेग होगलंड द्वारा [[फ्रैक]] पत्रिका में जारी किया गया था।<ref>{{cite journal
+कर्नेल-मोड रूटकिट उच्चतम ऑपरेटिंग सिस्टम विशेषाधिकारों (रिंग) के साथ कोड जोड़कर या कर्नेल (कंप्यूटर विज्ञान) और संबंधित डिवाइस ड्राइवर दोनों सहित कोर ऑपरेटिंग सिस्टम के भागों को बदलकर चलते हैं।{{citation needed|date=July 2021}} अधिकांश ऑपरेटिंग सिस्टम कर्नेल-मोड डिवाइस ड्राइवरों का समर्थन करते हैं, जो ऑपरेटिंग सिस्टम के समान विशेषाधिकारों के साथ निष्पादित होते हैं। जैसे, कई कर्नेल-मोड रूटकिट डिवाइस ड्राइवर या लोड करने योग्य मॉड्यूल के रूप में विकसित किए जाते हैं, जैसे [[लिनक्स]] में [[मॉड्यूल (लिनक्स)]] या [[माइक्रोसॉफ़्ट विंडोज़]] में डिवाइस ड्राइवर। रूटकिट के इस वर्ग के पास अप्रतिबंधित सुरक्षा पहुंच है, परंतु लिखना अधिक कठिन है।<ref name="UAMT"/>जटिलता बग को सामान्य बनाती है, और कर्नेल स्तर पर संचालन करने वाले कोड में कोई भी बग सिस्टम स्थिरता को गंभीर रूप से प्रभावित कर सकता है, जिससे रूटकिट की खोज हो सकती है।<ref name="UAMT"/>पहले व्यापक रूप से ज्ञात कर्नेल रूटकिट्स में से को विंडोज एनटी 4.0 के लिए विकसित किया गया था और 1999 में ग्रेग होगलंड द्वारा [[फ्रैक]] पत्रिका में जारी किया गया था।<ref>{{cite journal
   | journal=[[Phrack]]
   | title=ए * रियल * एनटी रूटकिट, एनटी कर्नेल को पैच करना| first=Greg
@@ Line 268: / Line 257: @@
   | first=Mariusz
   | last=Burdach
-}}</ref><ref>{{cite web|url=https://www.zdnet.com/article/skidmap-malware-buries-into-the-kernel-to-hide-cryptocurrency-mining/|title=स्किडमैप मैलवेयर अवैध क्रिप्टोक्यूरेंसी खनन को छिपाने के लिए कर्नेल में दब जाता है|last=Osborne|first=Charlie|website=[[ZDNet]]|date=September 17, 2019|access-date=July 24, 2021}}</ref> यह सामान्य है कि एक रूटकिट एक छिपी हुई, एन्क्रिप्टेड फाइल सिस्टम बनाता है जिसमें यह अन्य मैलवेयर या संक्रमित फाइलों की मूल प्रतियों को छुपा सकता है।<ref>{{Cite web
+}}</ref><ref>{{cite web|url=https://www.zdnet.com/article/skidmap-malware-buries-into-the-kernel-to-hide-cryptocurrency-mining/|title=स्किडमैप मैलवेयर अवैध क्रिप्टोक्यूरेंसी खनन को छिपाने के लिए कर्नेल में दब जाता है|last=Osborne|first=Charlie|website=[[ZDNet]]|date=September 17, 2019|access-date=July 24, 2021}}</ref> यह सामान्य है कि रूटकिट छिपी हुई, एन्क्रिप्टेड फाइल सिस्टम बनाता है जिसमें यह अन्य मैलवेयर या संक्रमित फाइलों की मूल प्रतियों को छुपा सकता है।<ref>{{Cite web
   | url=http://pxnow.prevx.com/content/blog/zeroaccess_analysis.pdf
   | title=ZeroAccess – एक उन्नत कर्नेल मोड रूटकिट| date=11 April 2011
@@ Line 279: / Line 268: @@
   | access-date=2008-07-06
 }}</ref>
+====बूटकिट्स ====
+कर्नेल-मोड रूटकिट वेरिएंट जिसे बूटकिट कहा जाता है, [[मास्टर बूट दस्तावेज़]] (एमबीआर), [[वॉल्यूम बूट रिकॉर्ड]] (वीबीआर), या बूट सेक्टर जैसे स्टार्टअप कोड को संक्रमित कर सकता है, और इस तरह [[पूर्ण डिस्क एन्क्रिप्शन]] सिस्टम पर हमला करने के लिए प्रयुक्त किया जा सकता है।<ref>{{cite web|url=https://arstechnica.com/gadgets/2020/07/red-hat-and-centos-systems-arent-booting-due-to-boothole-patches/|title=बूटहोल पैच के कारण Red Hat और CentOS सिस्टम बूट नहीं हो रहे हैं|last=Salter|first=Jim|website=[[Ars Technica]]|date=July 31, 2020|access-date=July 24, 2021}}</ref> डिस्क एन्क्रिप्शन पर इस तरह के हमले का उदाहरण दुष्ट नौकरानी का हमला है, जिसमें हमलावर उपेक्षित कंप्यूटर पर बूटकिट स्थापित करता है। परिकल्पित परिदृश्य होटल के उस कमरे में घुसने वाली नौकरानी है जहाँ पीड़ितों ने अपना हार्डवेयर छोड़ा था।<ref>{{cite web
-===={{anchor|bootkit}}बूटकिट्स ====
-कर्नेल-मोड रूटकिट वेरिएंट जिसे बूटकिट कहा जाता है, [[मास्टर बूट दस्तावेज़]] (एमबीआर), [[वॉल्यूम बूट रिकॉर्ड]] (वीबीआर), या बूट सेक्टर जैसे स्टार्टअप कोड को संक्रमित कर सकता है, और इस तरह [[पूर्ण डिस्क एन्क्रिप्शन]] सिस्टम पर हमला करने के लिए प्रयुक्त किया जा सकता है।<ref>{{cite web|url=https://arstechnica.com/gadgets/2020/07/red-hat-and-centos-systems-arent-booting-due-to-boothole-patches/|title=बूटहोल पैच के कारण Red Hat और CentOS सिस्टम बूट नहीं हो रहे हैं|last=Salter|first=Jim|website=[[Ars Technica]]|date=July 31, 2020|access-date=July 24, 2021}}</ref>
-डिस्क एन्क्रिप्शन पर इस तरह के हमले का एक उदाहरण दुष्ट नौकरानी का हमला है, जिसमें एक हमलावर एक उपेक्षित कंप्यूटर पर बूटकिट स्थापित करता है। परिकल्पित परिदृश्य होटल के उस कमरे में घुसने वाली एक नौकरानी है जहाँ पीड़ितों ने अपना हार्डवेयर छोड़ा था।<ref>{{cite web
   | url=http://www.schneier.com/blog/archives/2009/10/evil_maid_attac.html
   | author-link=Bruce Schneier
@@ Line 319: / Line 305: @@
   | archive-url=https://web.archive.org/web/20100610194454/http://www.nvlabs.in/archives/5-BOOT-KIT-Custom-boot-sector-based-Windows-2000XP2003-Subversion.html
   | archive-date=June 10, 2010
-}}</ref> उदाहरण के लिए, स्टोन्ड बूटकिट एन्क्रिप्शन कुंजी और पासवर्ड को इंटरसेप्ट करने के लिए एक समझौता बूटिंग का उपयोग करके सिस्टम को उलट देता है।<ref>{{cite web
+}}</ref> उदाहरण के लिए, स्टोन्ड बूटकिट एन्क्रिप्शन कुंजी और पासवर्ड को इंटरसेप्ट करने के लिए समझौता बूटिंग का उपयोग करके सिस्टम को उलट देता है।<ref>{{cite web
   | url=http://www.stoned-vienna.com/
   | access-date=2009-11-07
@@ Line 335: / Line 321: @@
   | last=Goodin
   | first=Dan
-}}</ref> यद्यपि उपयोगकर्ता कुछ ऐसा करने के अर्थ में मैलवेयर नहीं है जो उपयोगकर्ता नहीं चाहता है, कुछ विस्टा लोडर या विंडोज लोडर सॉफ़्टवेयर रैम-कैश संस्करण में एक उन्नत कॉन्फ़िगरेशन और पावर इंटरफेस एसएलआईसी (सिस्टम लाइसेंस प्राप्त आंतरिक कोड) तालिका को इंजेक्ट करके समान विधि से काम करते हैं। Microsoft उत्पाद सक्रियण को विफल करने के लिए बूट के दौरान BIOS का।{{citation needed|date=July 2021}} हमले के इस वेक्टर को [[विंडोज 8]] के (गैर-सर्वर) संस्करणों में बेकार कर दिया गया था, जो प्रत्येक सिस्टम के लिए एक अद्वितीय, मशीन-विशिष्ट कुंजी का उपयोग करते हैं, जिसका उपयोग मात्र उस एक मशीन द्वारा किया जा सकता है।<ref>{{Cite web|url=https://www.theregister.com/2012/08/03/windows_oem_activation_30/|title=माइक्रोसॉफ्ट ने ओईएम विंडोज 8 लाइसेंसिंग पर पकड़ मजबूत की|first=Neil McAllister in San|last=Francisco|website=www.theregister.com}}</ref> कई एंटीवायरस कंपनियां बूटकिट्स को हटाने के लिए मुफ्त उपयोगिताओं और प्रोग्राम प्रदान करती हैं।
+}}</ref> यद्यपि उपयोगकर्ता कुछ ऐसा करने के अर्थ में मैलवेयर नहीं है जो उपयोगकर्ता नहीं चाहता है, कुछ विस्टा लोडर या विंडोज लोडर सॉफ़्टवेयर रैम-कैश संस्करण में उन्नत कॉन्फ़िगरेशन और पावर इंटरफेस एसएलआईसी (सिस्टम लाइसेंस प्राप्त आंतरिक कोड) तालिका को इंजेक्ट करके समान विधि से काम करते हैं। माइक्रोसॉफ्टउत्पाद सक्रियण को विफल करने के लिए बूट के दौरान BIOS का।{{citation needed|date=July 2021}} हमले के इस वेक्टर को [[विंडोज 8]] के (गैर-सर्वर) संस्करणों में बेकार कर दिया गया था, जो प्रत्येक सिस्टम के लिए अद्वितीय, मशीन-विशिष्ट कुंजी का उपयोग करते हैं, जिसका उपयोग मात्र उस मशीन द्वारा किया जा सकता है।<ref>{{Cite web|url=https://www.theregister.com/2012/08/03/windows_oem_activation_30/|title=माइक्रोसॉफ्ट ने ओईएम विंडोज 8 लाइसेंसिंग पर पकड़ मजबूत की|first=Neil McAllister in San|last=Francisco|website=www.theregister.com}}</ref> कई एंटीवायरस कंपनियां बूटकिट्स को हटाने के लिए मुफ्त उपयोगिताओं और प्रोग्राम प्रदान करती हैं।
 === [[सूत्र]] स्तर ===
-अवधारणा के प्रमाण के रूप में शिक्षा जगत में रूटकिट्स को टाइप II हाइपरविजर के रूप में बनाया गया है। [[इंटेल वी.टी]] या [[एएमडी-वी]] जैसे हार्डवेयर वर्चुअलाइजेशन सुविधाओं का दोहन करके, इस प्रकार का रूटकिट रिंग -1 में चलता है और लक्ष्य ऑपरेटिंग सिस्टम को एक [[आभासी मशीन]] के रूप में होस्ट करता है, जिससे रूटकिट को मूल ऑपरेटिंग सिस्टम द्वारा किए गए हार्डवेयर कॉल को इंटरसेप्ट करने में सक्षम बनाता है।<ref name="Harris">{{Cite report
+अवधारणा के प्रमाण के रूप में शिक्षा जगत में रूटकिट्स को टाइप II हाइपरविजर के रूप में बनाया गया है। [[इंटेल वी.टी]] या [[एएमडी-वी]] जैसे हार्डवेयर वर्चुअलाइजेशन सुविधाओं का दोहन करके, इस प्रकार का रूटकिट रिंग -1 में चलता है और लक्ष्य ऑपरेटिंग सिस्टम को [[आभासी मशीन]] के रूप में होस्ट करता है, जिससे रूटकिट को मूल ऑपरेटिंग सिस्टम द्वारा किए गए हार्डवेयर कॉल को इंटरसेप्ट करने में सक्षम बनाता है।<ref name="Harris">{{Cite report
   | title = हार्डवेयर-असिस्टेड वर्चुअल मशीन (एचवीएम) रूटकिट्स का एक परिचय| last1 = Myers
   | first1 = Michael
@@ Line 346: / Line 332: @@
   | date = 2007-08-07
   | id = [[CiteSeerX]]: {{url|1=citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.90.8832|2=10.1.1.90.8832}}
-}}</ref> सामान्य हाइपरविजर के विपरीत, उन्हें ऑपरेटिंग सिस्टम से पहले लोड नहीं करना पड़ता है, परंतु वर्चुअल मशीन में इसे बढ़ावा देने से पहले ऑपरेटिंग सिस्टम में लोड कर सकते हैं।<ref name="Harris"/>एक हाइपरविजर रूटकिट को लक्ष्य को हटाने के लिए लक्ष्य के कर्नेल में कोई संशोधन नहीं करना पड़ता है; चूंकि, इसका मतलब यह नहीं है कि अतिथि ऑपरेटिंग सिस्टम द्वारा इसका पता नहीं लगाया जा सकता है। उदाहरण के लिए, केंद्रीय प्रसंस्करण इकाई के निर्देशों में समय के अंतर का पता लगाया जा सकता है।<ref name="Harris"/>[[Microsoft]] और मिशिगन विश्वविद्यालय के शोधकर्ताओं द्वारा संयुक्त रूप से विकसित SubVirt प्रयोगशाला रूटकिट, वर्चुअल-मशीन-आधारित रूटकिट (VMBR) का एक अकादमिक उदाहरण है,<ref>{{cite conference
+}}</ref> सामान्य हाइपरविजर के विपरीत, उन्हें ऑपरेटिंग सिस्टम से पहले लोड नहीं करना पड़ता है, परंतु वर्चुअल मशीन में इसे बढ़ावा देने से पहले ऑपरेटिंग सिस्टम में लोड कर सकते हैं।<ref name="Harris"/>एक हाइपरविजर रूटकिट को लक्ष्य को हटाने के लिए लक्ष्य के कर्नेल में कोई संशोधन नहीं करना पड़ता है; चूंकि, इसका मतलब यह नहीं है कि अतिथि ऑपरेटिंग सिस्टम द्वारा इसका पता नहीं लगाया जा सकता है। उदाहरण के लिए, केंद्रीय प्रसंस्करण इकाई के निर्देशों में समय के अंतर का पता लगाया जा सकता है।<ref name="Harris"/>माइक्रोसॉफ्टऔर मिशिगन विश्वविद्यालय के शोधकर्ताओं द्वारा संयुक्त रूप से विकसित सबवर्ट प्रयोगशाला रूटकिट, वर्चुअल-मशीन-आधारित रूटकिट (VMBR) का अकादमिक उदाहरण है,<ref>{{cite conference
   | url=http://www.eecs.umich.edu/virtual/papers/king06.pdf
   | access-date=2008-09-15
@@ Line 368: / Line 354: @@
   | last6 = Lorch
   | first6 = Jacob R.
-}}</ref>
+}}</ref>जबकि [[ब्लू पिल (सॉफ्टवेयर)|ब्लू पिल]] सॉफ्टवेयर दूसरा है। 2009 में, माइक्रोसॉफ्ट और [[उत्तरी कैरोलिना स्टेट यूनिवर्सिटी]] के शोधकर्ताओं ने [[हुकसेफ]] नामक हाइपरवाइजर-लेयर एंटी-रूटकिट का प्रदर्शन किया, जो कर्नेल-मोड रूटकिट्स के खिलाफ सामान्य सुरक्षा प्रदान करता है।<ref>{{Cite conference
-जबकि [[ब्लू पिल (सॉफ्टवेयर)]] सॉफ्टवेयर दूसरा है। 2009 में, माइक्रोसॉफ्ट और [[उत्तरी कैरोलिना स्टेट यूनिवर्सिटी]] के शोधकर्ताओं ने [[हुकसेफ]] नामक एक हाइपरवाइजर-लेयर एंटी-रूटकिट का प्रदर्शन किया, जो कर्नेल-मोड रूटकिट्स के खिलाफ सामान्य सुरक्षा प्रदान करता है।<ref>{{Cite conference
   | url = http://research.microsoft.com/en-us/um/people/wdcui/papers/hooksafe-ccs09.pdf
   | title=लाइटवेट हुक प्रोटेक्शन के साथ कर्नेल रूटकिट्स का मुकाबला करना| conference = CCS 2009: 16th ACM Conference on Computer and Communications Security
@@ Line 390: / Line 375: @@
   | last4 = Ning
   | first4 = Peng
-}}</ref> [[विंडोज 10]] ने डिवाइस गार्ड नामक एक नई सुविधा पेश की, जो रूटकिट-प्रकार के मैलवेयर के खिलाफ एक ऑपरेटिंग सिस्टम की स्वतंत्र बाहरी सुरक्षा प्रदान करने के लिए वर्चुअलाइजेशन का लाभ उठाती है।<ref>{{Cite web | url=https://msdn.microsoft.com/en-us/library/dn986865(v=vs.85).aspx | title=डिवाइस गार्ड विंडोज डिफेंडर एप्लिकेशन कंट्रोल और वर्चुअलाइजेशन-आधारित कोड इंटीग्रिटी (विंडोज 10) की सुरक्षा का संयोजन है}}</ref>
+}}</ref> [[विंडोज 10]] ने डिवाइस गार्ड नामक नई सुविधा प्रस्तुत की, जो रूटकिट-प्रकार के मैलवेयर के खिलाफ ऑपरेटिंग सिस्टम की स्वतंत्र बाहरी सुरक्षा प्रदान करने के लिए वर्चुअलाइजेशन का लाभ उठाती है।<ref>{{Cite web | url=https://msdn.microsoft.com/en-us/library/dn986865(v=vs.85).aspx | title=डिवाइस गार्ड विंडोज डिफेंडर एप्लिकेशन कंट्रोल और वर्चुअलाइजेशन-आधारित कोड इंटीग्रिटी (विंडोज 10) की सुरक्षा का संयोजन है}}</ref>
 === फर्मवेयर और हार्डवेयर ===
-एक फर्मवेयर रूटकिट डिवाइस या प्लेटफॉर्म फर्मवेयर का उपयोग हार्डवेयर में एक स्थायी मैलवेयर छवि बनाने के लिए करता है, जैसे [[राउटर (कंप्यूटिंग)]], [[नेटवर्क इंटरफ़ेस नियंत्रक]],<ref>{{cite conference
+एक फर्मवेयर रूटकिट डिवाइस या प्लेटफॉर्म फर्मवेयर का उपयोग हार्डवेयर में स्थायी मैलवेयर छवि बनाने के लिए करता है, जैसे [[राउटर (कंप्यूटिंग)|राउटर]] , [[नेटवर्क इंटरफ़ेस नियंत्रक]],<ref>{{cite conference
   | conference=hack.lu
   | url=http://esec-lab.sogeti.com/dotclear/public/publications/10-hack.lu-nicreverse_slides.pdf
@@ Line 414: / Line 397: @@
   | access-date = 2010-11-21
   | publisher = NGS Consulting
-}}</ref> और एक [[पारंपरिक पीसीआई]] विस्तार कार्ड में रीड [[रीड ऑनली मैमोरी]]<ref>{{cite web
+}}</ref> और [[पारंपरिक पीसीआई]] विस्तार कार्ड में रीड [[रीड ऑनली मैमोरी]]<ref>{{cite web
   | url = http://www.ngsconsulting.com/research/papers/Implementing_And_Detecting_A_PCI_Rootkit.pdf
   | title = पीसीआई रूटकिट का कार्यान्वयन और पता लगाना| first = John
@@ Line 422: / Line 405: @@
   | publisher = Next Generation Security Software
   | id = [[CiteSeerX]]: {{url|1=citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.89.7305|2=10.1.1.89.7305}}
-}}</ref> अक्टूबर 2008 में, अपराधियों ने यूरोपीय क्रेडिट-कार्ड-रीडिंग मशीनों को स्थापित करने से पहले उनके साथ छेड़छाड़ की। उपकरणों ने मोबाइल फोन नेटवर्क के माध्यम से [[क्रेडिट कार्ड]] के विवरण को इंटरसेप्ट किया और प्रसारित किया।<ref>{{cite web|url=https://www.theregister.co.uk/2008/10/10/organized_crime_doctors_chip_and_pin_machines/|title=यूरोपीय कार्ड स्वाइप उपकरणों के साथ संगठित अपराध छेड़छाड़: ग्राहक डेटा विदेशों में प्रसारित हुआ|first=Austin|last=Modine|date=2008-10-10|access-date=2008-10-13|work=[[The Register]]|publisher=Situation Publishing}}</ref> मार्च 2009 में, शोधकर्ताओं अल्फ्रेडो ओर्टेगा और [[अनिबल सैको]] ने एक BIOS-स्तरीय विंडोज रूटकिट का विवरण प्रकाशित किया जो डिस्क प्रतिस्थापन और ऑपरेटिंग सिस्टम री-इंस्टॉलेशन से बचने में सक्षम था।<ref>{{Cite conference
+}}</ref> अक्टूबर 2008 में, अपराधियों ने यूरोपीय क्रेडिट-कार्ड-रीडिंग मशीनों को स्थापित करने से पहले उनके साथ छेड़छाड़ की। उपकरणों ने मोबाइल फोन नेटवर्क के माध्यम से [[क्रेडिट कार्ड]] के विवरण को इंटरसेप्ट किया और प्रसारित किया।<ref>{{cite web|url=https://www.theregister.co.uk/2008/10/10/organized_crime_doctors_chip_and_pin_machines/|title=यूरोपीय कार्ड स्वाइप उपकरणों के साथ संगठित अपराध छेड़छाड़: ग्राहक डेटा विदेशों में प्रसारित हुआ|first=Austin|last=Modine|date=2008-10-10|access-date=2008-10-13|work=[[The Register]]|publisher=Situation Publishing}}</ref> मार्च 2009 में, शोधकर्ताओं अल्फ्रेडो ओर्टेगा और [[अनिबल सैको]] ने BIOS-स्तरीय विंडोज रूटकिट का विवरण प्रकाशित किया जो डिस्क प्रतिस्थापन और ऑपरेटिंग सिस्टम री-इंस्टॉलेशन से बचने में सक्षम था।<ref>{{Cite conference
   |last1          = Sacco
   |first1         = Anibal
@@ Line 456: / Line 439: @@
   | first2= Alfredo
   | last2=Ortéga
-}}</ref> कुछ महीनों बाद उन्हें पता चला कि कुछ लैपटॉप एक वैध रूटकिट के साथ बेचे जाते हैं, जिसे लैपटॉप के लिए एब्सोल्यूट [[कंप्यूट्रेस]] या एब्सोल्यूट लोजैक के रूप में जाना जाता है, जो कई BIOS छवियों में पहले से इंस्टॉल होता है। यह एक एंटी-[[लैपटॉप चोरी]] प्रौद्योगिकी प्रणाली है जिसे शोधकर्ताओं ने दिखाया है कि इसे दुर्भावनापूर्ण उद्देश्यों में बदल दिया जा सकता है।<ref name="Ortega" />
+}}</ref> कुछ महीनों बाद उन्हें पता चला कि कुछ लैपटॉप वैध रूटकिट के साथ बेचे जाते हैं, जिसे लैपटॉप के लिए एब्सोल्यूट [[कंप्यूट्रेस]] या एब्सोल्यूट लोजैक के रूप में जाना जाता है, जो कई BIOS छवियों में पहले से इंस्टॉल होता है। यह एंटी-[[लैपटॉप चोरी]] प्रौद्योगिकी प्रणाली है जिसे शोधकर्ताओं ने दिखाया है कि इसे द्वेषपूर्ण उद्देश्यों में बदल दिया जा सकता है।<ref name="Ortega" />
-Intel सक्रिय प्रबंधन प्रौद्योगिकी, Intel vPro #Remote प्रबंधन का हिस्सा है, आउट-ऑफ़-बैंड प्रबंधन लागू करता है, प्रशासकों को [[दूरस्थ प्रशासन]], [[दूरस्थ अवसंरचना प्रबंधन]], और होस्ट प्रोसेसर या BIOS की भागीदारी के बिना पीसी के [[रिमोट डेस्कटॉप सॉफ्टवेयर]] देता है, तब भी जब सिस्टम बंद है। रिमोट प्रशासन में रिमोट पावर-अप और पावर-डाउन, रिमोट रीसेट, रीडायरेक्ट बूट, कंसोल रीडायरेक्शन, BIOS सेटिंग्स के लिए प्री-बूट एक्सेस, इनबाउंड और आउटबाउंड नेटवर्क ट्रैफिक के लिए प्रोग्राम करने योग्य फ़िल्टरिंग, एजेंट उपस्थिति जांच, आउट-ऑफ-बैंड नीति-आधारित सम्मलित हैं। अलर्टिंग, सिस्टम की जानकारी तक पहुंच, जैसे कि हार्डवेयर संपत्ति की जानकारी, लगातार इवेंट लॉग, और अन्य जानकारी जो समर्पित मेमोरी (हार्ड ड्राइव पर नहीं) में संग्रहीत होती है, जहां ओएस के डाउन होने या पीसी के बंद होने पर भी इसे एक्सेस किया जा सकता है। इनमें से कुछ कार्यों के लिए रूटकिट के गहनतम स्तर की आवश्यकता होती है, मुख्य कंप्यूटर के चारों ओर निर्मित एक दूसरा गैर-हटाने योग्य स्पाई कंप्यूटर। सैंडी ब्रिज और भविष्य के [[चिपसेट]] में 3जी के माध्यम से खोए या चोरी हुए पीसी को दूरस्थ रूप से खत्म करने और पुनर्स्थापित करने की क्षमता है। चिपसेट में निर्मित हार्डवेयर रूटकिट चोरी हुए कंप्यूटरों को पुनर्प्राप्त करने, डेटा को हटाने, या उन्हें बेकार करने में मदद कर सकते हैं, परंतु वे प्रबंधन या हैकर्स द्वारा नियंत्रण प्राप्त करने वाले गुप्त जासूसी और पुनर्निर्देशन की गोपनीयता और सुरक्षा चिंताओं को भी प्रस्तुत करते हैं।
+इंटेल सक्रिय प्रबंधन प्रौद्योगिकी, इंटेल vPro प्रबंधन का हिस्सा है, आउट-ऑफ़-बैंड प्रबंधन लागू करता है, प्रशासकों को [[दूरस्थ प्रशासन]], [[दूरस्थ अवसंरचना प्रबंधन]], और होस्ट प्रोसेसर या BIOS की भागीदारी के बिना पीसी के [[रिमोट डेस्कटॉप सॉफ्टवेयर]] देता है, तब भी जब सिस्टम बंद है। रिमोट प्रशासन में रिमोट पावर-अप और पावर-डाउन, रिमोट रीसेट, रीडायरेक्ट बूट, कंसोल रीडायरेक्शन, BIOS सेटिंग्स के लिए प्री-बूट एक्सेस, इनबाउंड और आउटबाउंड नेटवर्क ट्रैफिक के लिए प्रोग्राम करने योग्य फ़िल्टरिंग, एजेंट उपस्थिति जांच, आउट-ऑफ-बैंड नीति-आधारित सम्मलित हैं। अलर्टिंग, सिस्टम की जानकारी तक पहुंच, जैसे कि हार्डवेयर संपत्ति की जानकारी, लगातार इवेंट लॉग, और अन्य जानकारी जो समर्पित मेमोरी (हार्ड ड्राइव पर नहीं) में संग्रहीत होती है, जहां ओएस के डाउन होने या पीसी के बंद होने पर भी इसे एक्सेस किया जा सकता है। इनमें से कुछ कार्यों के लिए रूटकिट के गहनतम स्तर की आवश्यकता होती है, मुख्य कंप्यूटर के चारों ओर निर्मित दूसरा गैर-हटाने योग्य स्पाई कंप्यूटर। सैंडी ब्रिज और भविष्य के [[चिपसेट]] में 3जी के माध्यम से खोए या चोरी हुए पीसी को दूरस्थ रूप से खत्म करने और पुनर्स्थापित करने की क्षमता है। चिपसेट में निर्मित हार्डवेयर रूटकिट चोरी हुए कंप्यूटरों को पुनर्प्राप्त करने, डेटा को हटाने, या उन्हें बेकार करने में सहायता कर सकते हैं, परंतु वे प्रबंधन या हैकर्स द्वारा नियंत्रण प्राप्त करने वाले गुप्त जासूसी और पुनर्निर्देशन की गोपनीयता और सुरक्षा चिंताओं को भी प्रस्तुत करते हैं।
 == स्थापना और क्लोकिंग ==
-रूटकिट्स सिस्टम पर नियंत्रण हासिल करने के लिए कई तरह की तकनीकों का प्रयुक्त करते हैं; रूटकिट का प्रकार अटैक वेक्टर की पसंद को प्रभावित करता है। गुप्त विशेषाधिकार वृद्धि को प्राप्त करने के लिए सबसे आम तकनीक भेद्यता (कंप्यूटिंग) का लाभ उठाती है। एक अन्य दृष्टिकोण एक [[ट्रोजन हॉर्स (कंप्यूटिंग)]] का उपयोग करना है, एक कंप्यूटर उपयोगकर्ता को रूटकिट के इंस्टॉलेशन प्रोग्राम को सौम्य मानने के लिए धोखा देना है - इस मामले में, सोशल इंजीनियरिंग (सुरक्षा) एक उपयोगकर्ता को आश्वस्त करती है कि रूटकिट फायदेमंद है।<ref name="UAMT"/>यदि [[कम से कम विशेषाधिकार का सिद्धांत]] लागू नहीं किया जाता है, तो स्थापना कार्य आसान हो जाता है, क्योंकि रूटकिट को तब स्पष्ट रूप से उन्नत (व्यवस्थापक-स्तर) विशेषाधिकारों का अनुरोध नहीं करना पड़ता है। रूटकिट के अन्य वर्ग मात्र लक्ष्य प्रणाली तक भौतिक पहुंच वाले किसी व्यक्ति द्वारा स्थापित किए जा सकते हैं। कुछ रूटकिट जानबूझकर सिस्टम के मालिक या मालिक द्वारा अधिकृत किसी व्यक्ति द्वारा भी स्थापित किए जा सकते हैं, उदा। [[कर्मचारी निगरानी]] के प्रयोजन के लिए, ऐसी विध्वंसक तकनीकों को अनावश्यक रूप से प्रतिपादित करना।<ref>{{cite book
+रूटकिट्स सिस्टम पर नियंत्रण हासिल करने के लिए कई तरह की तकनीकों का प्रयुक्त करते हैं; रूटकिट का प्रकार अटैक वेक्टर की पसंद को प्रभावित करता है। गुप्त विशेषाधिकार वृद्धि को प्राप्त करने के लिए सबसे आम तकनीक भेद्यता का लाभ उठाती है। अन्य दृष्टिकोण [[ट्रोजन हॉर्स (कंप्यूटिंग)|ट्रोजन हॉर्स]] का उपयोग करना है, कंप्यूटर उपयोगकर्ता को रूटकिट के इंस्टॉलेशन प्रोग्राम को सौम्य मानने के लिए धोखा देना है - इस मामले में, सोशल इंजीनियरिंग (सुरक्षा) उपयोगकर्ता को आश्वस्त करती है कि रूटकिट लाभप्रद है।<ref name="UAMT"/> यदि [[कम से कम विशेषाधिकार का सिद्धांत]] लागू नहीं किया जाता है, तो स्थापना कार्य आसान हो जाता है, क्योंकि रूटकिट को तब स्पष्ट रूप से उन्नत (व्यवस्थापक-स्तर) विशेषाधिकारों का अनुरोध नहीं करना पड़ता है। रूटकिट के अन्य वर्ग मात्र लक्ष्य प्रणाली तक भौतिक पहुंच वाले किसी व्यक्ति द्वारा स्थापित किए जा सकते हैं। कुछ रूटकिट अभिप्रायपूर्वक सिस्टम के मालिक या मालिक द्वारा अधिकृत किसी व्यक्ति द्वारा भी स्थापित किए जा सकते हैं, उदा। [[कर्मचारी निगरानी]] के प्रयोजन के लिए, ऐसी विध्वंसक तकनीकों को अनावश्यक रूप से प्रतिपादित करना।<ref>{{cite book
   | title=पेशेवर रूटकिट्स| author=Ric Vieler
   | publisher=John Wiley & Sons
@@ Line 467: / Line 450: @@
   | isbn=9780470149546
   | page=244
-}}</ref> वितरण के लिए विशिष्ट पे-पर-इंस्टॉल (PPI) मुआवजा पद्धति के साथ कुछ दुर्भावनापूर्ण रूटकिट इंस्टॉलेशन व्यावसायिक रूप से संचालित होते हैं।<ref>{{cite web
+}}</ref> वितरण के लिए विशिष्ट पे-पर-इंस्टॉल (पीपीआई) क्षतिपूर्ति पद्धति के साथ कुछ द्वेषपूर्ण रूटकिट इंस्टॉलेशन व्यावसायिक रूप से संचालित होते हैं।<ref>{{cite web
   |url         = http://www.eset.com/resources/white-papers/TDL3-Analysis.pdf
   |title       = TDL3: The Rootkit of All Evil?
@@ Line 495: / Line 478: @@
   |archive-url  = https://web.archive.org/web/20150729043339/http://www.eset.com/us/resources/white-papers/The_Evolution_of_TDL.pdf
   |archive-date = 2015-07-29
-}}</ref>
+}}</ref> बार इंस्टॉल हो जाने के बाद, रूटकिट निदान, स्कैनिंग और निगरानी के लिए उपयोग किए जाने वाले मानक ऑपरेटिंग सिस्टम [[कंप्यूटर सुरक्षा]] उपकरण और [[अप्लिकेशन प्रोग्रामिंग अंतरफलक]] (एपीआई) के विचलन या चोरी के माध्यम से मेजबान सिस्टम के अंतर्गत अपनी उपस्थिति को अस्पष्ट करने के लिए सक्रिय उपाय करता है।<ref>{{cite web|url=https://www.bleepingcomputer.com/news/security/new-moriya-rootkit-used-in-the-wild-to-backdoor-windows-systems/|title=नई मोरिया रूटकिट जंगली से पिछले दरवाजे विंडोज सिस्टम में उपयोग की जाती है|last=Gatlan|first=Sergiu|website=[[Bleeping Computer]]|date=May 6, 2021|access-date=July 24, 2021}}</ref> रूटकिट्स रिंग (कंप्यूटर सुरक्षा) के व्यवहार को अन्य प्रक्रियाओं में लोडिंग कोड, डिवाइस ड्राइवर की स्थापना या संशोधन, या [[लोड करने योग्य कर्नेल मॉड्यूल]] के माध्यम से संशोधित करके इसे प्राप्त करते हैं। अस्पष्टीकरण तकनीकों में सिस्टम-निगरानी तंत्र से चल रही प्रक्रियाओं को छुपाना और सिस्टम फ़ाइलों और अन्य कॉन्फ़िगरेशन डेटा को छुपाना सम्मलित है।<ref>{{cite web
-एक बार इंस्टॉल हो जाने के बाद, रूटकिट निदान, स्कैनिंग और निगरानी के लिए उपयोग किए जाने वाले मानक ऑपरेटिंग सिस्टम [[कंप्यूटर सुरक्षा]] उपकरण और [[अप्लिकेशन प्रोग्रामिंग अंतरफलक]] (एपीआई) के विचलन या चोरी के माध्यम से मेजबान सिस्टम के अंतर्गत अपनी उपस्थिति को अस्पष्ट करने के लिए सक्रिय उपाय करता है।<ref>{{cite web|url=https://www.bleepingcomputer.com/news/security/new-moriya-rootkit-used-in-the-wild-to-backdoor-windows-systems/|title=नई मोरिया रूटकिट जंगली से पिछले दरवाजे विंडोज सिस्टम में उपयोग की जाती है|last=Gatlan|first=Sergiu|website=[[Bleeping Computer]]|date=May 6, 2021|access-date=July 24, 2021}}</ref> रूटकिट्स रिंग (कंप्यूटर सुरक्षा) के व्यवहार को अन्य प्रक्रियाओं में लोडिंग कोड, डिवाइस ड्राइवर की स्थापना या संशोधन, या [[लोड करने योग्य कर्नेल मॉड्यूल]] के माध्यम से संशोधित करके इसे प्राप्त करते हैं। अस्पष्टीकरण तकनीकों में सिस्टम-निगरानी तंत्र से चल रही प्रक्रियाओं को छुपाना और सिस्टम फ़ाइलों और अन्य कॉन्फ़िगरेशन डेटा को छुपाना सम्मलित है।<ref>{{cite web
   | url=http://www.usenix.org/publications/login/1999-9/features/rootkits.html
   | title=अदृश्य घुसपैठिए: अभ्यास में रूटकिट| date=1999-11-16
@@ Line 503: / Line 485: @@
   | work = USENIX
   | publisher=[[USENIX]]
-}}</ref> किसी हमले के साक्ष्य को छिपाने के प्रयास में, रूटकिट के लिए ऑपरेटिंग सिस्टम की [[इवेंट लोग]]िंग क्षमता को अक्षम करना असामान्य नहीं है। रूटकिट्स, सिद्धांत रूप में, किसी भी ऑपरेटिंग सिस्टम की गतिविधियों को उलट सकते हैं।<ref name="MIT"/>संपूर्ण रूटकिट को एक संपूर्ण अपराध के समान माना जा सकता है: ऐसा अपराध जिसे किसी को पता ही नहीं चलता है। रूटकिट्स सामान्यतः रिंग 0 (कर्नेल-मोड) में स्थापित करने के अतिरिक्त एंटीवायरस सॉफ़्टवेयर द्वारा पता लगाने और सफाई के खिलाफ अपने अस्तित्व को सुनिश्चित करने के लिए कई उपाय भी करते हैं, जहां उनके पास सिस्टम तक पूरी पहुंच होती है। इनमें [[बहुरूपी कोड]] सम्मलित हैं (बदलना जिससे उनके हस्ताक्षर का पता लगाना कठिन हो), चुपके तकनीक, पुनर्जनन, एंटी-मैलवेयर सॉफ़्टवेयर को अक्षम या बंद करना,<ref name="trlokom">{{Cite web
+}}</ref> किसी हमले के साक्ष्य को छिपाने के प्रयास में, रूटकिट के लिए ऑपरेटिंग सिस्टम की [[इवेंट लोग|इवेंट]] लॉगिंग क्षमता को अक्षम करना असामान्य नहीं है। रूटकिट्स, सिद्धांत रूप में, किसी भी ऑपरेटिंग सिस्टम की गतिविधियों को उलट सकते हैं।<ref name="MIT"/>संपूर्ण रूटकिट को संपूर्ण अपराध के समान माना जा सकता है: ऐसा अपराध जिसे किसी को पता ही नहीं चलता है। रूटकिट्स सामान्यतः रिंग 0 (कर्नेल-मोड) में स्थापित करने के अतिरिक्त एंटीवायरस सॉफ़्टवेयर द्वारा पता लगाने और सफाई के खिलाफ अपने अस्तित्व को सुनिश्चित करने के लिए कई उपाय भी करते हैं, जहां उनके पास सिस्टम तक पूरी पहुंच होती है। इनमें [[बहुरूपी कोड]] सम्मलित हैं (बदलना जिससे उनके हस्ताक्षर का पता लगाना कठिन हो), चुपके तकनीक, पुनर्जनन, एंटी-मैलवेयर सॉफ़्टवेयर को अक्षम या बंद करना,<ref name="trlokom">{{Cite web
   |url         = http://www.trlokom.com/pdf/TrlokomRootkitDefenseWhitePaper.pdf
   |title       = Defeating Rootkits and Keyloggers
@@ Line 538: / Line 520: @@
   |archive-url  = https://web.archive.org/web/20100911033147/http://download.microsoft.com/download/a/b/e/abefdf1c-96bd-40d6-a138-e320b6b25bd3/understandingantimalwaretechnologies.pdf
   |archive-date = 2010-09-11
-}}</ref> कंप्यूटर वायरस की तरह, रूटकिट का पता लगाना और हटाना इस संघर्ष के दोनों पक्षों के बीच एक सतत संघर्ष है।<ref name="MIT"/>डिटेक्शन कई अलग-अलग दृष्टिकोण अपना सकता है, जिसमें वायरस सिग्नेचर (जैसे एंटीवायरस सॉफ़्टवेयर), इंटीग्रिटी चेकिंग (जैसे [[अंगुली का हस्ताक्षर]]), अंतर-आधारित डिटेक्शन (अपेक्षित बनाम वास्तविक परिणामों की तुलना), और व्यवहारिक डिटेक्शन (जैसे मॉनिटरिंग CPU उपयोग) सम्मलित हैं। या नेटवर्क ट्रैफ़िक)।
+}}</ref> कंप्यूटर वायरस की तरह, रूटकिट का पता लगाना और हटाना इस संघर्ष के दोनों पक्षों के बीच सतत संघर्ष है।<ref name="MIT"/>डिटेक्शन कई अलग-अलग दृष्टिकोण अपना सकता है, जिसमें वायरस सिग्नेचर (जैसे एंटीवायरस सॉफ़्टवेयर), इंटीग्रिटी चेकिंग (जैसे [[अंगुली का हस्ताक्षर]]), अंतर-आधारित डिटेक्शन (अपेक्षित बनाम वास्तविक परिणामों की तुलना), और व्यवहारिक डिटेक्शन (जैसे मॉनिटरिंग CPU उपयोग) सम्मलित हैं या नेटवर्क ट्रैफ़िक)।
 कर्नेल-मोड रूटकिट्स के लिए, पता लगाना काफी अधिक जटिल है, हुकिंग की तलाश के लिए सिस्टम कॉल टेबल की सावधानीपूर्वक जांच की आवश्यकता होती है जहां मैलवेयर सिस्टम व्यवहार को नष्ट कर सकता है,<ref>{{cite web
@@ Line 549: / Line 531: @@
   |archive-url=https://web.archive.org/web/20120910164327/http://www.sans.org/reading_room/whitepapers/threats/kernel-rootkits_449
   |archive-date=September 10, 2012
-}}</ref> साथ ही छिपी हुई प्रक्रियाओं को इंगित करने वाले पैटर्न के लिए मेमोरी की [[फोरेंसिक]] स्कैनिंग। यूनिक्स रूटकिट डिटेक्शन प्रसाद में ज़ेप्पू सम्मलित हैं,<ref>{{cite web
+}}</ref> साथ ही छिपी हुई प्रक्रियाओं को इंगित करने वाले पैटर्न के लिए मेमोरी की [[फोरेंसिक]] स्कैनिंग। यूनिक्स रूटकिट डिटेक्शन जिसमें ज़ेप्पू सम्मलित हैं,<ref>{{cite web
   | url=http://sourceforge.net/projects/zeppoo/
   | title=ज़ेप्पू| access-date=8 August 2011
   | publisher=[[SourceForge]]
   | date=18 July 2009
-}}</ref> [[chkrootkit]], [[rkhunter]] और [[OSSEC]]। विंडोज के लिए, डिटेक्शन टूल में Microsoft Sysinternals RootkitRevealer सम्मलित है,<ref>{{cite web
+}}</ref> [[chkrootkit]], [[rkhunter]] और [[OSSEC]]। विंडोज के लिए, डिटेक्शन टूल में माइक्रोसॉफ्ट सिसइंटर्नल्स रूटकिट रिवीलर सम्मलित है,<ref>{{cite web
   | url=https://technet.microsoft.com/en-us/sysinternals/bb897445.aspx
   | publisher=[[Microsoft]]
@@ Line 570: / Line 552: @@
   | title=सोफोस एंटी-रूटकिट| access-date=8 August 2011
   | publisher=[[Sophos]]
-}}</ref> [[च-सुरक्षित]],<ref>{{cite web
+}}</ref> [[च-सुरक्षित|एफ-सुरक्षित]],<ref>{{cite web
   | url=http://www.f-secure.com/en_UK/security/security-lab/tools-and-services/blacklight/index.html
   | title=काला प्रकाश| publisher=[[F-Secure]]
   | access-date=8 August 2011
-}}</ref> मूलांक,<ref>{{cite web
+}}</ref> रैडिक्स,<ref>{{cite web
   | url=http://www.usec.at/rootkit.html
   | title=रेडिक्स एंटी-रूटकिट| access-date=8 August 2011
@@ Line 581: / Line 563: @@
   | url=http://www.gmer.net/
   | title=जीएमईआर| access-date=8 August 2011
-}}</ref> और [[विंडोज़स्कोप]]। कोई भी रूटकिट डिटेक्टर जो प्रभावी सिद्ध होता है, अंततः अपनी स्वयं की अप्रभावीता में योगदान देता है, क्योंकि मैलवेयर लेखक अच्छी तरह से उपयोग किए जाने वाले टूल द्वारा पता लगाने से बचने के लिए अपने कोड को अनुकूलित और परीक्षण करते हैं।<ref group="Notes">The process name of Sysinternals RootkitRevealer was targeted by malware; in an attempt to counter this countermeasure, the tool now uses a randomly generated process name.</ref> संदिग्ध ऑपरेटिंग सिस्टम चालू नहीं होने पर भंडारण की जांच करके जांच सॉफ़्टवेयर द्वारा मान्यता प्राप्त रूटकिट को याद नहीं किया जा सकता है, क्योंकि रूटकिट सक्रिय नहीं है और संदिग्ध व्यवहार को दबा दिया गया है; रूटकिट ऑपरेशनल के साथ चलने वाला पारंपरिक एंटी-मैलवेयर सॉफ़्टवेयर विफल हो सकता है यदि रूटकिट स्वयं को प्रभावी ढंग से छुपाता है।
+}}</ref> और [[विंडोज़स्कोप]]। कोई भी रूटकिट डिटेक्टर जो प्रभावी सिद्ध होता है, अंततः अपनी स्वयं की अप्रभाविता में योगदान देता है, क्योंकि मैलवेयर लेखक अच्छी तरह से उपयोग किए जाने वाले टूल द्वारा पता लगाने से बचने के लिए अपने कोड को अनुकूलित और परीक्षण करते हैं।<ref group="Notes">The process name of Sysinternals RootkitRevealer was targeted by malware; in an attempt to counter this countermeasure, the tool now uses a randomly generated process name.</ref> संदिग्ध ऑपरेटिंग सिस्टम चालू नहीं होने पर भंडारण की जांच करके जांच सॉफ़्टवेयर द्वारा मान्यता प्राप्त रूटकिट को याद नहीं किया जा सकता है, क्योंकि रूटकिट सक्रिय नहीं है और संदिग्ध व्यवहार को दबा दिया गया है; रूटकिट ऑपरेशनल के साथ चलने वाला पारंपरिक एंटी-मैलवेयर सॉफ़्टवेयर विफल हो सकता है यदि रूटकिट स्वयं को प्रभावी ढंग से छुपाता है।
 === वैकल्पिक विश्वसनीय माध्यम ===
-ऑपरेटिंग-सिस्टम-लेवल रूटकिट डिटेक्शन के लिए सबसे अच्छा और सबसे विश्वसनीय तरीका संक्रमण के संदेह वाले कंप्यूटर को बंद करना है, और फिर वैकल्पिक विश्वसनीय माध्यम (जैसे बचाव सीडी-रोम या [[यूएसबी फ्लैश ड्राइव]]) से बूट करके इसके [[कंप्यूटर डेटा भंडारण]] की जांच करना है। ).<ref>{{Cite web
+ऑपरेटिंग-सिस्टम-लेवल रूटकिट डिटेक्शन के लिए सबसे अच्छा और सबसे विश्वसनीय तरीका संक्रमण के संदेह वाले कंप्यूटर को बंद करना है, और फिर वैकल्पिक विश्वसनीय माध्यम (जैसे बचाव सीडी-रोम या [[यूएसबी फ्लैश ड्राइव]]) से बूट करके इसके [[कंप्यूटर डेटा भंडारण]] की जांच करना है।<ref>{{Cite web
   | url=http://www.symantec.com/avcenter/reference/testing_methodology_for_rootkit_removal.pdf
   | title=रूटकिट हटाने की प्रभावशीलता के लिए एक परीक्षण पद्धति| first=Josh
@@ Line 598: / Line 580: @@
 === व्यवहार-आधारित ===
-रूटकिट का पता लगाने के लिए व्यवहार-आधारित दृष्टिकोण रूटकिट-जैसे व्यवहार की तलाश करके रूटकिट की उपस्थिति का अनुमान लगाने का प्रयास करता है। उदाहरण के लिए, एक प्रणाली की [[रूपरेखा (कंप्यूटर प्रोग्रामिंग)]] द्वारा, एपीआई कॉल के समय और आवृत्ति में अंतर या समग्र सीपीयू उपयोग में अंतर को रूटकिट के लिए जिम्मेदार ठहराया जा सकता है। विधि जटिल है और टाइप I और टाइप II त्रुटियों की एक उच्च घटना से बाधित है। दोषपूर्ण रूटकिट कभी-कभी एक सिस्टम में बहुत स्पष्ट परिवर्तन पेश कर सकते हैं: एक सुरक्षा अद्यतन के बाद इसके कोड में एक डिज़ाइन दोष उजागर होने के बाद [[एल्यूरॉन]] रूटकिट ने विंडोज सिस्टम को क्रैश कर दिया।<ref>{{cite web
+रूटकिट का पता लगाने के लिए व्यवहार-आधारित दृष्टिकोण रूटकिट-जैसे व्यवहार की तलाश करके रूटकिट की उपस्थिति का अनुमान लगाने का प्रयास करता है। उदाहरण के लिए, प्रणाली की [[रूपरेखा (कंप्यूटर प्रोग्रामिंग)]] द्वारा, एपीआई कॉल के समय और आवृत्ति में अंतर या समग्र सीपीयू उपयोग में अंतर को रूटकिट के लिए जिम्मेदार ठहराया जा सकता है। विधि जटिल है और टाइप I और टाइप II त्रुटियों की उच्च घटना से बाधित है। दोषपूर्ण रूटकिट कभी-कभी सिस्टम में बहुत स्पष्ट परिवर्तन प्रस्तुत कर सकते हैं: सुरक्षा अद्यतन के बाद इसके कोड में डिज़ाइन दोष उजागर होने के बाद [[एल्यूरॉन]] रूटकिट ने विंडोज सिस्टम को क्रैश कर दिया।<ref>{{cite web
   | url=http://www.symantec.com/connect/blogs/tidserv-and-ms10-015
   | title=टिडसर्व और MS10-015| publisher=[[NortonLifeLock|Symantec]]
@@ Line 610: / Line 592: @@
   | access-date=2010-10-05
   | publisher=[[Microsoft]]
-}}</ref> एक [[पैकेट विश्लेषक]], [[फ़ायरवॉल (कंप्यूटिंग)]], या घुसपैठ की रोकथाम प्रणाली से लॉग एक नेटवर्क वातावरण में रूटकिट व्यवहार का प्रमाण प्रस्तुत कर सकते हैं।<ref name="anson-forensics"/>
+}}</ref> [[पैकेट विश्लेषक]], [[फ़ायरवॉल (कंप्यूटिंग)|फ़ायरवॉल]] , या घुसपैठ की रोकथाम प्रणाली से लॉग नेटवर्क वातावरण में रूटकिट व्यवहार का प्रमाण प्रस्तुत कर सकते हैं।<ref name="anson-forensics"/>
 === हस्ताक्षर-आधारित ===
-एंटीवायरस उत्पाद सार्वजनिक परीक्षणों में प्रायः ही कभी सभी वायरस पकड़ते हैं (इस पर निर्भर करता है कि किसका उपयोग किया जाता है और किस हद तक), भले ही सुरक्षा सॉफ़्टवेयर विक्रेता अपने उत्पादों में रूटकिट डिटेक्शन सम्मलित करते हैं। यदि कोई रूटकिट एंटीवायरस स्कैन के दौरान छिपाने का प्रयास करता है, तो एक स्टील्थ डिटेक्टर नोटिस कर सकता है; यदि रूटकिट सिस्टम से स्वयं को अस्थायी रूप से अनलोड करने का प्रयास करता है, तो सिग्नेचर डिटेक्शन (या फ़िंगरप्रिंटिंग) अभी भी इसे ढूंढ सकता है।<ref>{{cite web|url=https://bestantivirus.com/blog/keyloggers.html|title=कीलॉगर्स के बारे में आपको क्या जानना चाहिए|last=Steinberg|first=Joseph|website=bestantivirus.com|date=June 9, 2021|access-date=July 24, 2021}}</ref> यह संयुक्त दृष्टिकोण हमलावरों को काउंटरटैक तंत्र, या रेट्रो रूटीन लागू करने के लिए मजबूर करता है, जो एंटीवायरस प्रोग्राम को समाप्त करने का प्रयास करता है। हस्ताक्षर-आधारित पता लगाने के विधि अच्छी तरह से प्रकाशित रूटकिट के खिलाफ प्रभावी हो सकते हैं, परंतु विशेष रूप से तैयार किए गए, कस्टम-रूट रूटकिट के खिलाफ कम।<ref name="MIT"/>
+एंटीवायरस उत्पाद सार्वजनिक परीक्षणों में प्रायः ही कभी सभी वायरस पकड़ते हैं (इस पर निर्भर करता है कि किसका उपयोग किया जाता है और किस हद तक), भले ही सुरक्षा सॉफ़्टवेयर विक्रेता अपने उत्पादों में रूटकिट डिटेक्शन सम्मलित करते हैं। यदि कोई रूटकिट एंटीवायरस स्कैन के दौरान छिपाने का प्रयास करता है, तो स्टील्थ डिटेक्टर नोटिस कर सकता है; यदि रूटकिट सिस्टम से स्वयं को अस्थायी रूप से अनलोड करने का प्रयास करता है, तो सिग्नेचर डिटेक्शन (या फ़िंगरप्रिंटिंग) अभी भी इसे ढूंढ सकता है।<ref>{{cite web|url=https://bestantivirus.com/blog/keyloggers.html|title=कीलॉगर्स के बारे में आपको क्या जानना चाहिए|last=Steinberg|first=Joseph|website=bestantivirus.com|date=June 9, 2021|access-date=July 24, 2021}}</ref> यह संयुक्त दृष्टिकोण हमलावरों को काउंटरटैक तंत्र, या रेट्रो रूटीन लागू करने के लिए मजबूर करता है, जो एंटीवायरस प्रोग्राम को समाप्त करने का प्रयास करता है। हस्ताक्षर-आधारित पता लगाने के विधि अच्छी तरह से प्रकाशित रूटकिट के खिलाफ प्रभावी हो सकते हैं, परंतु विशेष रूप से तैयार किए गए, कस्टम-रूट रूटकिट के खिलाफ कम।<ref name="MIT"/>
 === अंतर-आधारित ===
 एक अन्य विधि जो रूटकिट का पता लगा सकती है, विश्वसनीय कच्चे डेटा की तुलना [[एपीआई]] द्वारा लौटाई गई दूषित सामग्री से करती है। उदाहरण के लिए, डिस्क पर मौजूद बायनेरिज़ की तुलना [[ऑपरेटिंग मेमोरी]] के अंतर्गत उनकी प्रतियों से की जा सकती है (कुछ ऑपरेटिंग सिस्टम में, इन-मेमोरी छवि ऑन-डिस्क छवि के समान होनी चाहिए), या [[फाइल सिस्टम]] या [[विंडोज रजिस्ट्री]] एपीआई से लौटाए गए परिणाम कर सकते हैं अंतर्निहित भौतिक डिस्क पर कच्ची संरचनाओं के विरुद्ध जाँच की जाए<ref name="MIT"/><ref>{{cite web
@@ Line 627: / Line 605: @@
   |archive-url  = https://archive.today/20120729/http://research.microsoft.com/en-us/um/redmond/projects/strider/rootkit/
   |archive-date = 2012-07-29
-}}</ref>- चूंकि, पूर्व के मामले में, ऑपरेटिंग सिस्टम तंत्र जैसे मेमोरी रिलोकेशन या [[शिम (कम्प्यूटिंग)]] द्वारा कुछ वैध अंतर पेश किए जा सकते हैं। एक रूटकिट इस तरह के अंतर-आधारित स्कैनर या वर्चुअल मशीन की उपस्थिति का पता लगा सकता है (बाद में सामान्यतः फोरेंसिक विश्लेषण करने के लिए उपयोग किया जाता है), और इसके व्यवहार को समायोजित कर सकता है जिससे कोई अंतर पता न चल सके। सोनी डीआरएम रूटकिट को खोजने के लिए [[रसिनोविच]] के रूटकिट रीवेलर टूल द्वारा अंतर-आधारित पहचान का उपयोग किया गया था।<ref name="McAfee1"/>
+}}</ref>- चूंकि,पूर्व के मामले में, ऑपरेटिंग सिस्टम तंत्र जैसे मेमोरी रिलोकेशन या [[शिम (कम्प्यूटिंग)|शिम]] द्वारा कुछ वैध अंतर प्रस्तुत किए जा सकते हैं। रूटकिट इस तरह के अंतर-आधारित स्कैनर या वर्चुअल मशीन की उपस्थिति का पता लगा सकता है (बाद में सामान्यतः फोरेंसिक विश्लेषण करने के लिए उपयोग किया जाता है), और इसके व्यवहार को समायोजित कर सकता है जिससे कोई अंतर पता न चल सके। सोनी डीआरएम रूटकिट को खोजने के लिए [[रसिनोविच]] के रूटकिट रीवेलर टूल द्वारा अंतर-आधारित पहचान का उपयोग किया गया था।<ref name="McAfee1"/>
 === अखंडता जांच ===
-[[File:Rkhunter on Mac OS X.png|thumb|right|Rhunter उपयोगिता [[SHA-1]] हैश का उपयोग सिस्टम फ़ाइलों की अखंडता को सत्यापित करने के लिए करती है।]][[कोड हस्ताक्षर]] सार्वजनिक-कुंजी अवसंरचना का उपयोग यह जांचने के लिए करता है कि किसी फ़ाइल को उसके प्रकाशक द्वारा डिजिटल हस्ताक्षर होने के बाद से संशोधित किया गया है या नहीं। वैकल्पिक रूप से, सिस्टम स्वामी या व्यवस्थापक स्थापना के समय फ़िंगरप्रिंट की गणना करने के लिए [[क्रिप्टोग्राफ़िक हैश फ़ंक्शन]] का उपयोग कर सकता है जो ऑन-डिस्क कोड लाइब्रेरी में बाद में अनधिकृत परिवर्तनों का पता लगाने में मदद कर सकता है।<ref>{{cite web
+[[File:Rkhunter on Mac OS X.png|thumb|right|Rhunter उपयोगिता [[SHA-1]] हैश का उपयोग सिस्टम फ़ाइलों की अखंडता को सत्यापित करने के लिए करती है।]][[कोड हस्ताक्षर]] सार्वजनिक-कुंजी अवसंरचना का उपयोग यह जांचने के लिए करता है कि किसी फ़ाइल को उसके प्रकाशक द्वारा डिजिटल हस्ताक्षर होने के बाद से संशोधित किया गया है या नहीं। वैकल्पिक रूप से, सिस्टम स्वामी या व्यवस्थापक स्थापना के समय फ़िंगरप्रिंट की गणना करने के लिए [[क्रिप्टोग्राफ़िक हैश फ़ंक्शन]] का उपयोग कर सकता है जो ऑन-डिस्क कोड लाइब्रेरी में बाद में अनधिकृत परिवर्तनों का पता लगाने में सहायता कर सकता है।<ref>{{cite web
   | url=https://msdn.microsoft.com/en-us/library/ms537364(VS.85).aspx
   | title=ऑथेंटिकोड के साथ कोड पर हस्ताक्षर करना और जांचना| publisher=[[Microsoft]]
   | access-date=2008-09-15
-}}</ref> चूंकि, अपरिष्कृत योजनाएँ मात्र यह जाँचती हैं कि क्या कोड को स्थापना के समय से संशोधित किया गया है; उस समय से पहले तोड़फोड़ पता लगाने योग्य नहीं है। हर बार सिस्टम में परिवर्तन किए जाने पर फ़िंगरप्रिंट को पुनः स्थापित किया जाना चाहिए: उदाहरण के लिए, सुरक्षा अद्यतन या [[सर्विस पैक]] स्थापित करने के बाद। हैश फ़ंक्शन एक संदेश डाइजेस्ट बनाता है, एक एल्गोरिदम का उपयोग करके फ़ाइल में प्रत्येक बिट से अपेक्षाकृत कम कोड की गणना की जाती है जो मूल फ़ाइल में छोटे बदलावों के साथ संदेश डाइजेस्ट में बड़े बदलाव बनाता है। संदेश डाइजेस्ट की एक विश्वसनीय सूची के विरुद्ध नियमित अंतराल पर स्थापित फ़ाइलों के संदेश डाइजेस्ट की पुनर्गणना और तुलना करके, सिस्टम में परिवर्तन का पता लगाया जा सकता है और निगरानी की जा सकती है - जब तक कि मैलवेयर जोड़े जाने से पहले मूल आधार रेखा बनाई गई थी।
+}}</ref> चूंकि, अपरिष्कृत योजनाएँ मात्र यह जाँचती हैं कि क्या कोड को स्थापना के समय से संशोधित किया गया है; उस समय से पहले तोड़फोड़ पता लगाने योग्य नहीं है। हर बार सिस्टम में परिवर्तन किए जाने पर फ़िंगरप्रिंट को पुनः स्थापित किया जाना चाहिए: उदाहरण के लिए, सुरक्षा अद्यतन या [[सर्विस पैक]] स्थापित करने के बाद। हैश फ़ंक्शन संदेश डाइजेस्ट बनाता है, एल्गोरिदम का उपयोग करके फ़ाइल में प्रत्येक बिट से अपेक्षाकृत कम कोड की गणना की जाती है जो मूल फ़ाइल में छोटे बदलावों के साथ संदेश डाइजेस्ट में बड़े बदलाव बनाता है। संदेश डाइजेस्ट की विश्वसनीय सूची के विरुद्ध नियमित अंतराल पर स्थापित फ़ाइलों के संदेश डाइजेस्ट की पुनर्गणना और तुलना करके, सिस्टम में परिवर्तन का पता लगाया जा सकता है और निगरानी की जा सकती है - जब तक कि मैलवेयर जोड़े जाने से पहले मूल आधार रेखा बनाई गई थी।
-अधिक परिष्कृत रूटकिट निरीक्षण के लिए फ़ाइल की एक असंशोधित प्रति प्रस्तुत करके, या मात्र मेमोरी, पुनर्संरचना रजिस्टरों में कोड संशोधन करके सत्यापन प्रक्रिया को उलटने में सक्षम हैं, जिनकी तुलना बाद में अपेक्षित मूल्यों की एक सफेद सूची से की जाती है।<ref>{{cite web
+अधिक परिष्कृत रूटकिट निरीक्षण के लिए फ़ाइल की असंशोधित प्रति प्रस्तुत करके, या मात्र मेमोरी, पुनर्संरचना रजिस्टरों में कोड संशोधन करके सत्यापन प्रक्रिया को उलटने में सक्षम हैं, जिनकी तुलना बाद में अपेक्षित मूल्यों की सफेद सूची से की जाती है।<ref>{{cite web
   | url=http://www.trustedcomputinggroup.org/files/resource_files/C2426F48-1D09-3519-AD02D13C71B888A6/Whitepaper_Rootkit_Strom_v3.pdf
   | title=नेटवर्क एज पर रूटकिट्स को रोकना| date= January 2017
@@ Line 643: / Line 619: @@
   | access-date= 2008-07-11
   | location=Beaverton, Oregon
-  }}</ref> कोड जो हैश करता है, तुलना करता है, या संचालन का विस्तार करता है, उसे भी संरक्षित किया जाना चाहिए - इस संदर्भ में, एक अपरिवर्तनीय रूट-ऑफ-ट्रस्ट की धारणा यह मानती है कि सिस्टम के सुरक्षा गुणों को मापने के लिए सबसे पहले कोड को यह सुनिश्चित करने के लिए स्वयं पर भरोसा करना चाहिए रूटकिट या बूटकिट सिस्टम को उसके सबसे मौलिक स्तर पर समझौता नहीं करता है।<ref>{{cite web
+  }}</ref> कोड जो हैश करता है, तुलना करता है, या संचालन का विस्तार करता है, उसे भी संरक्षित किया जाना चाहिए - इस संदर्भ में, अपरिवर्तनीय रूट-ऑफ-ट्रस्ट की धारणा यह मानती है कि सिस्टम के सुरक्षा गुणों को मापने के लिए सबसे पहले कोड को यह सुनिश्चित करने के लिए स्वयं पर भरोसा करना चाहिए रूटकिट या बूटकिट सिस्टम को उसके सबसे मौलिक स्तर पर समझौता नहीं करता है।<ref>{{cite web
   | url=http://www.trustedcomputinggroup.org/files/resource_files/87B92DAF-1D09-3519-AD80984BBE62D62D/TCG_PCSpecificSpecification_v1_1.pdf
   | date=2003-08-18
@@ Line 650: / Line 626: @@
   | title=टीसीजी पीसी विशिष्ट कार्यान्वयन विशिष्टता, संस्करण 1.1
   }}</ref>
 === मेमोरी डंप ===
-[[अप्रत्यक्ष स्मृति]] के एक पूर्ण डंप को मजबूर करने से एक सक्रिय रूटकिट (या कर्नेल-मोड रूटकिट के मामले में एक कोर डंप) पर कब्जा हो जाएगा, ऑफ़लाइन फॉरेंसिक विश्लेषण को रूटकिट सक्षम किए बिना परिणामी [[डंप फ़ाइल]] के विरुद्ध डीबगर के साथ निष्पादित करने की अनुमति मिलती है। स्वयं को छिपाने के लिए कोई उपाय करें। यह तकनीक अत्यधिक विशिष्ट है, और इसके लिए गैर-सार्वजनिक स्रोत कोड या डीबग प्रतीक तक पहुंच की आवश्यकता हो सकती है। ऑपरेटिंग सिस्टम द्वारा शुरू किए गए मेमोरी डंप का उपयोग हमेशा हाइपरवाइजर-आधारित रूटकिट का पता लगाने के लिए नहीं किया जा सकता है, जो मेमोरी को पढ़ने के लिए निम्नतम-स्तर के प्रयासों को रोकने और हटाने में सक्षम है।<ref name="Harris"/>—एक हार्डवेयर डिवाइस, जैसे कि एक [[गैर-नकाबपोश व्यवधान]] को लागू करता है, इस परिदृश्य में मेमोरी को डंप करने की आवश्यकता हो सकती है।<ref>{{cite web
+[[अप्रत्यक्ष स्मृति]] के पूर्ण डंप को मजबूर करने से सक्रिय रूटकिट (या कर्नेल-मोड रूटकिट के मामले में कोर डंप) पर कब्जा हो जाएगा, ऑफ़लाइन फॉरेंसिक विश्लेषण को रूटकिट सक्षम किए बिना परिणामी [[डंप फ़ाइल]] के विरुद्ध डीबगर के साथ निष्पादित करने की अनुमति मिलती है। स्वयं को छिपाने के लिए कोई उपाय करें। यह तकनीक अत्यधिक विशिष्ट है, और इसके लिए गैर-सार्वजनिक स्रोत कोड या डीबग प्रतीक तक पहुंच की आवश्यकता हो सकती है। ऑपरेटिंग सिस्टम द्वारा शुरू किए गए मेमोरी डंप का उपयोग हमेशा हाइपरवाइजर-आधारित रूटकिट का पता लगाने के लिए नहीं किया जा सकता है, जो मेमोरी को पढ़ने के लिए निम्नतम-स्तर के प्रयासों को रोकने और हटाने में सक्षम है।<ref name="Harris"/>—एक हार्डवेयर डिवाइस, जैसे कि [[गैर-नकाबपोश व्यवधान]] को लागू करता है, इस परिदृश्य में मेमोरी को डंप करने की आवश्यकता हो सकती है।<ref>{{cite web
   | url=https://support.microsoft.com/en-us/kb/927069
   | publisher=[[Microsoft]]
@@ Line 665: / Line 639: @@
   | s2cid=9960430
   | display-authors=etal
-}}</ref> वर्चुअल मशीनें अंतर्निहित हाइपरविजर से एक समझौता मशीन की मेमोरी का विश्लेषण करना भी आसान बनाती हैं, इसलिए कुछ रूटकिट इस कारण से वर्चुअल मशीनों को संक्रमित करने से बचेंगे।
+}}</ref> वर्चुअल मशीनें अंतर्निहित हाइपरविजर से समझौता मशीन की मेमोरी का विश्लेषण करना भी आसान बनाती हैं, इसलिए कुछ रूटकिट इस कारण से वर्चुअल मशीनों को संक्रमित करने से बचेंगे।
 == हटाना ==
@@ Line 675: / Line 649: @@
   | archive-url=https://web.archive.org/web/20081205031526/http://www.mcafee.com/us/local_content/white_papers/wp_rootkits_0407.pdf
   | archive-date=2008-12-05
-}}</ref> परंतु कई सुरक्षा-सॉफ़्टवेयर विक्रेता स्वचालित रूप से कुछ रूटकिट का पता लगाने और हटाने के लिए उपकरण प्रदान करते हैं, सामान्यतः एक एंटीवायरस सॉफ़्टवेयर के भाग के रूप में। {{As of|2005}}, Microsoft का मासिक Windows दुर्भावनापूर्ण सॉफ़्टवेयर निष्कासन उपकरण रूटकिट के कुछ वर्गों का पता लगाने और उन्हें निकालने में सक्षम है।<ref>{{cite web
+}}</ref> परंतु कई सुरक्षा-सॉफ़्टवेयर विक्रेता स्वचालित रूप से कुछ रूटकिट का पता लगाने और हटाने के लिए उपकरण प्रदान करते हैं, सामान्यतः एंटीवायरस सॉफ़्टवेयर के भाग के रूप में। 2005 तक, माइक्रोसॉफ्टका मासिक विंडोज़ द्वेषपूर्ण सॉफ़्टवेयर निष्कासन उपकरण रूटकिट के कुछ वर्गों का पता लगाने और उन्हें निकालने में सक्षम है।<ref>{{cite web
   | url=http://searchenterprisedesktop.techtarget.com/news/column/0,294698,sid192_gci1112754,00.html
   | title=रूटकिट लड़ाई: रूटकिट रिवीलर बनाम हैकर डिफेंडर| first=Kurt
@@ Line 684: / Line 658: @@
   | title=Microsoft Windows दुर्भावनापूर्ण सॉफ़्टवेयर निष्कासन उपकरण Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008, या Windows XP चलाने वाले कंप्यूटरों से विशिष्ट, प्रचलित दुर्भावनापूर्ण सॉफ़्टवेयर को निकालने में मदद करता है| publisher=[[Microsoft]]
   | date=2010-09-14
-}}</ref> साथ ही, विंडोज डिफेंडर ऑफलाइन रूटकिट को हटा सकता है, क्योंकि यह ऑपरेटिंग सिस्टम शुरू होने से पहले एक विश्वसनीय वातावरण से चलता है।<ref>{{cite book|url=https://books.google.com/books?id=s8FCDgAAQBAJ&pg=PA17|title=विंडोज वायरस और मैलवेयर समस्या निवारण|page=17|last1=Bettany|first1=Andrew|last2=Halsey|first2=Mike|publisher=Apress|year=2017|isbn=9781484226070|via=[[Google Books]]}}</ref> कुछ एंटीवायरस स्कैनर फाइल सिस्टम एपीआई को बायपास कर सकते हैं, जो रूटकिट द्वारा हेरफेर के लिए असुरक्षित हैं। इसके अतिरिक्त, वे कच्चे फ़ाइल सिस्टम संरचनाओं तक सीधे पहुँचते हैं, और रूटकिट के कारण होने वाले किसी भी अंतर की पहचान करने के लिए सिस्टम एपीआई से परिणामों को मान्य करने के लिए इस जानकारी का उपयोग करते हैं।<ref group="Notes">In theory, a sufficiently sophisticated kernel-level rootkit could subvert read operations against raw file system data structures as well, so that they match the results returned by APIs.</ref><ref>{{cite journal
+}}</ref> साथ ही, विंडोज डिफेंडर ऑफलाइन रूटकिट को हटा सकता है, क्योंकि यह ऑपरेटिंग सिस्टम शुरू होने से पहले विश्वसनीय वातावरण से चलता है।<ref>{{cite book|url=https://books.google.com/books?id=s8FCDgAAQBAJ&pg=PA17|title=विंडोज वायरस और मैलवेयर समस्या निवारण|page=17|last1=Bettany|first1=Andrew|last2=Halsey|first2=Mike|publisher=Apress|year=2017|isbn=9781484226070|via=[[Google Books]]}}</ref> कुछ एंटीवायरस स्कैनर फाइल सिस्टम एपीआई को बायपास कर सकते हैं, जो रूटकिट द्वारा हेरफेर के लिए असुरक्षित हैं। इसके अतिरिक्त, वे कच्चे फ़ाइल सिस्टम संरचनाओं तक सीधे पहुँचते हैं, और रूटकिट के कारण होने वाले किसी भी अंतर की पहचान करने के लिए सिस्टम एपीआई से परिणामों को मान्य करने के लिए इस जानकारी का उपयोग करते हैं।<ref group="Notes">In theory, a sufficiently sophisticated kernel-level rootkit could subvert read operations against raw file system data structures as well, so that they match the results returned by APIs.</ref><ref>{{cite journal
   | url=http://www.infoworld.com/article/2663426/security/rootkits--the-next-big-enterprise-threat-.html
   |title=रूटकिट्स: अगला बड़ा उद्यम खतरा?| last = Hultquist
@@ Line 733: / Line 707: @@
   | publisher=IDG
   | location=Framingham, Mass.
-}}</ref> ऐसा इसलिए है क्योंकि एक अविश्वसनीय सिस्टम पर चल रहे एंटीवायरस और मैलवेयर हटाने वाले उपकरण अच्छी तरह से लिखे गए कर्नेल-मोड रूटकिट के विरुद्ध अप्रभावी हो सकते हैं। विश्वसनीय मीडिया से एक वैकल्पिक ऑपरेटिंग सिस्टम को बूट करने से एक संक्रमित सिस्टम वॉल्यूम को माउंट किया जा सकता है और संभावित रूप से सुरक्षित रूप से साफ किया जा सकता है और महत्वपूर्ण डेटा को कॉपी किया जा सकता है - या, वैकल्पिक रूप से, एक फोरेंसिक परीक्षा की जा सकती है।<ref name="anson-forensics">{{cite book
+}}</ref> ऐसा इसलिए है क्योंकि अविश्वसनीय सिस्टम पर चल रहे एंटीवायरस और मैलवेयर हटाने वाले उपकरण अच्छी तरह से लिखे गए कर्नेल-मोड रूटकिट के विरुद्ध अप्रभावी हो सकते हैं। विश्वसनीय मीडिया से वैकल्पिक ऑपरेटिंग सिस्टम को बूट करने से संक्रमित सिस्टम वॉल्यूम को माउंट किया जा सकता है और संभावित रूप से सुरक्षित रूप से साफ किया जा सकता है और महत्वपूर्ण डेटा को कॉपी किया जा सकता है - या, वैकल्पिक रूप से, फोरेंसिक परीक्षा की जा सकती है।<ref name="anson-forensics">{{cite book
   | url=https://books.google.com/books?id=BhdP2PZy6SoC
   | title=विंडोज नेटवर्क फोरेंसिक और जांच में महारत हासिल करना| first1=Steve
@@ Line 747: / Line 721: @@
 == बचाव ==
-सिस्टम [[सख्त (कंप्यूटिंग)]] रूटकिट के खिलाफ रक्षा की पहली परतों में से एक का प्रतिनिधित्व करता है, इसे स्थापित करने में सक्षम होने से रोकने के लिए।<ref>{{cite book
+सिस्टम [[सख्त (कंप्यूटिंग)|सख्त]] रूटकिट के खिलाफ रक्षा की पहली परतों में से का प्रतिनिधित्व करता है, इसे स्थापित करने में सक्षम होने से रोकने के लिए।<ref>{{cite book
   | url=https://books.google.com/books?id=JHgX8_pVPpEC
   | page=335
@@ Line 768: / Line 742: @@
   | archive-url=https://web.archive.org/web/20101024164136/http://www.sans.org/reading_room/whitepapers/linux/linux-rootkits-beginners-prevention-removal_901
   | archive-date=October 24, 2010
-}}</ref> [[यूईएफआई]] जैसे नए सुरक्षित बूट विनिर्देशों को बूटकिट के खतरे को संबोधित करने के लिए डिज़ाइन किया गया है, परंतु ये भी असुरक्षित हैं यदि उनके द्वारा प्रदान की जाने वाली सुरक्षा सुविधाओं का उपयोग नहीं किया जाता है।<ref name="blog.trendmicro.com"/>सर्वर सिस्टम के लिए, इंटेल [[विश्वसनीय निष्पादन प्रौद्योगिकी]] (TXT) जैसी तकनीकों का उपयोग करके रिमोट सर्वर प्रमाणन यह सत्यापित करने का एक तरीका प्रदान करता है कि सर्वर एक ज्ञात अच्छी स्थिति में रहते हैं। उदाहरण के लिए, Microsoft [[Bitlocker]] का डेटा-एट-रेस्ट का एन्क्रिप्शन सत्यापित करता है कि सर्वर बूटअप पर ज्ञात अच्छी स्थिति में हैं। [[PrivateCore]] vCage एक सॉफ्टवेयर पेशकश है जो बूटकिट से बचने के लिए डेटा-इन-यूज (मेमोरी) को सुरक्षित करता है और सर्वर को सत्यापित करके रूटकिट बूटअप पर एक ज्ञात अच्छी स्थिति में है। PrivateCore कार्यान्वयन इंटेल TXT के साथ मिलकर काम करता है और संभावित बूटकिट और रूटकिट से बचने के लिए सर्वर सिस्टम इंटरफेस को लॉक कर देता है।
+}}</ref> [[यूईएफआई]] जैसे नए सुरक्षित बूट विनिर्देशों को बूटकिट के खतरे को संबोधित करने के लिए डिज़ाइन किया गया है, परंतु ये भी असुरक्षित हैं यदि उनके द्वारा प्रदान की जाने वाली सुरक्षा सुविधाओं का उपयोग नहीं किया जाता है।<ref name="blog.trendmicro.com"/>सर्वर सिस्टम के लिए, इंटेल [[विश्वसनीय निष्पादन प्रौद्योगिकी]] (TXT) जैसी तकनीकों का उपयोग करके रिमोट सर्वर प्रमाणन यह सत्यापित करने का तरीका प्रदान करता है कि सर्वर ज्ञात अच्छी स्थिति में रहते हैं। उदाहरण के लिए, माइक्रोसॉफ्ट [[Bitlocker|बिटलॉकर]] का डेटा-एट-रेस्ट का एन्क्रिप्शन सत्यापित करता है कि सर्वर बूटअप पर ज्ञात अच्छी स्थिति में हैं। [[PrivateCore|प्राइवेटकोर]] vCage सॉफ्टवेयर प्रस्तुत है जो बूटकिट से बचने के लिए डेटा-इन-यूज (मेमोरी) को सुरक्षित करता है और सर्वर को सत्यापित करके रूटकिट बूटअप पर ज्ञात अच्छी स्थिति में है। [[PrivateCore|प्राइवेटकोर]] कार्यान्वयन इंटेल TXT के साथ मिलकर काम करता है और संभावित बूटकिट और रूटकिट से बचने के लिए सर्वर सिस्टम इंटरफेस को लॉक कर देता है।
 == यह भी देखें ==
@@ Line 790: / Line 764: @@
 *{{cite book|title=Designing BSD Rootkits|first=Joseph |last=Kong|publisher=No Starch Press|year=2007|isbn=978-1-59327-142-8}}
 *{{cite book|first=Ric|last= Veiler|title=Professional Rootkits|publisher=Wrox|year=2007|isbn=978-0-470-10154-4}}
+==बाहरी संबंध==
+*{{Commonscatinline|Rootkits}}
-==इस पेज में लापता आंतरिक लिंक की सूची==
-*UNIX- जैसे
-*कार्यकारी प्रबंधक
-*मस्तिष्क (कंप्यूटर वायरस)
-*निजी कंप्यूटर
-*से
-*हुकिंग
-*आईईईई स्पेक्ट्रम
-*वोडाफोन ग्रीस
-*चित्रमय पहचान और प्रमाणीकरण
-*प्राधिकार
-*सर्विस अटैक से इनकार
-*धोखाधड़ी पर क्लिक करें
-*हनीपोट (कम्प्यूटिंग)
-*कास्परस्की एंटी-वायरस
-*संदेश देना
-*भेद्यता (कंप्यूटिंग)
-*डीबगर
-*दुष्ट नौकरानी हमला
-*सुरक्षित प्रकार
-*उन्नत कॉन्फ़िगरेशन और पावर इंटरफ़ेस
-*सेंट्रल प्रोसेसिंग यूनिट
-*मिशिगन यूनिवर्सिटी
-*लैपटॉप के लिए लोजैक
-*आउट-ऑफ-बैंड प्रबंधन
-*इंटेल सक्रिय प्रबंधन प्रौद्योगिकी
-*अचूक अपराध
-*टाइप I और टाइप II त्रुटियां
-*अनाधिकृत प्रवेश निरोधक प्रणाली
-*बाइनरी
-*सार्वजनिक मुख्य बुनियादी सुविधा
-*सोर्स कोड
-*डिबग प्रतीक
-*फोरेंसिक विश्लेषण
-*विंडोज दुर्भावनापूर्ण सॉफ़्टवेयर रिमूवल टूल
-*होस्ट-आधारित घुसपैठ का पता लगाने वाली प्रणाली
-==बाहरी संबंध==
-*{{Commonscatinline|Rootkits}}
-{{Malware}}
-{{Authority control}}
-[[Category:मैलवेयर के प्रकार]]
-[[Category: रूटकिट्स| ]]
-[[Category:विशेषाधिकार वृद्धि शोषण]]
-[[Category:क्रिप्टोग्राफ़िक हमले]]
-[[Category:साइबरवारफेयर]]
+<references group="Notes" responsive="0" />
-[[Category: Machine Translated Page]]
+[[Category:Accuracy disputes from November 2010]]
-[[Category:Created On 16/12/2022]]
+[[Category:All accuracy disputes]]
+[[Category:All articles with dead external links]]
+[[Category:All articles with self-published sources]]
+[[Category:All articles with unsourced statements]]
+[[Category:Articles with dead external links from September 2012]]
+[[Category:Articles with hatnote templates targeting a nonexistent page]]
+[[Category:Articles with invalid date parameter in template]]
+[[Category:Articles with self-published sources from November 2010]]
+[[Category:Articles with unsourced statements from July 2021]]
+[[Category:CS1 English-language sources (en)]]
+[[Category:CS1 errors]]
+[[Category:Citation Style 1 templates|M]]
+[[Category:Collapse templates]]
+[[Category:Lua-based templates]]
+[[Category:Machine Translated Page]]
+[[Category:Navigational boxes| ]]
+[[Category:Navigational boxes without horizontal lists]]
+[[Category:Pages with broken file links]]
+[[Category:Pages with script errors]]
+[[Category:Short description with empty Wikidata description]]
+[[Category:Sidebars with styles needing conversion]]
+[[Category:Template documentation pages|Documentation/doc]]
+[[Category:Templates Vigyan Ready]]
+[[Category:Templates based on the Citation/CS1 Lua module]]
+[[Category:Templates generating COinS|Cite magazine]]
+[[Category:Templates generating microformats]]
+[[Category:Templates that add a tracking category]]
+[[Category:Templates that are not mobile friendly]]
+[[Category:Templates that generate short descriptions]]
+[[Category:Templates using TemplateData]]
+[[Category:Wikipedia fully protected templates|Cite magazine]]
+[[Category:Wikipedia metatemplates]]

Anonymous

Search

रूटकिट: Difference between revisions

Latest revision as of 20:48, 31 January 2023

इतिहास

सोनी बीएमजी कॉपी प्रोटेक्शन रूटकिट स्कैंडल

ग्रीक वायरटैपिंग मामला 2004–05

उपयोग

प्रकार

उपयोगकर्ता मोड

कर्नेल मोड

बूटकिट्स

सूत्र स्तर

फर्मवेयर और हार्डवेयर

स्थापना और क्लोकिंग

जांच

वैकल्पिक विश्वसनीय माध्यम

व्यवहार-आधारित

हस्ताक्षर-आधारित

अंतर-आधारित

अखंडता जांच

मेमोरी डंप

हटाना

बचाव

यह भी देखें

टिप्पणियाँ

संदर्भ

अग्रिम पठन

बाहरी संबंध

Navigation

Wiki tools

Page tools

Other projects

Hidden categories