रूटकिट: Difference between revisions

From Vigyanwiki
No edit summary
No edit summary
 
(10 intermediate revisions by 4 users not shown)
Line 1: Line 1:
{{Short description|Software designed to enable access to unauthorized locations in a computer}}
{{Short description|Software designed to enable access to unauthorized locations in a computer}}
{{Information security}}
{{Information security}}
रूटकिट सॉफ्टवेयर का एक संग्रह है, जो सामान्यतः द्वेषपूर्ण होता है, जिसे कंप्यूटर या इसके [[सॉफ़्टवेयर]] के एक क्षेत्र तक पहुंच को सक्षम बनाने के लिए डिज़ाइन किया गया है, जिसे अन्यथा अनुमति नहीं है (उदाहरण के लिए, एक अनधिकृत उपयोगकर्ता के लिए) और अधिकांशतः इसके अस्तित्व या अन्य सॉफ़्टवेयर के अस्तित्व को छुपाता है।<ref name="McAfee1"/> अर्थात रूटकिट सामान्यतः गलत उद्देश्यों को पूरा करने के लिए बनाया जाता है। इसे इस तरह से बनाया जाता है कि ये कम्प्युटर या उस क्षेत्र में ऐसे स्थान पर भी कार्य करता है, जिस स्थान पर सॉफ्टवेयर को आम तौर पर अनुमति नहीं होती है।शब्द रूटकिट "रूट" का एक यौगिक है (यूनिक्स-जैसे ऑपरेटिंग सिस्टम पर विशेषाधिकार प्राप्त अकाउंट का पारंपरिक नाम) और शब्द किट (जो उपकरण को लागू करने वाले सॉफ़्टवेयर घटकों को संदर्भित करता है)।<ref>{{cite book |editor-last1=Colbert |editor-first1=Edward J. M. |editor-last2=Kott |editor-first2=Alexander| last1=Evancich|first1=N.|last2=Li|first2=J.|page=100|date=2016-08-23 |publisher=Springer |title=एससीएडीए और अन्य औद्योगिक नियंत्रण प्रणालियों की साइबर सुरक्षा|chapter=6.2.3 Rootkits |chapter-url=https://books.google.com/books?id=4ZTlDAAAQBAJ&pg=PA100 |isbn=9783319321257|via=[[Google Books]]}}</ref> रूटकिट शब्द का [[मैलवेयर]] के साथ जुड़ाव के कारण नकारात्मक अर्थ है।<ref name="McAfee1"/>
रूटकिट सॉफ्टवेयर का संग्रह है, जो सामान्यतः द्वेषपूर्ण होता है, जिसे कंप्यूटर या इसके [[सॉफ़्टवेयर]] के क्षेत्र तक पहुंच को सक्षम बनाने के लिए डिज़ाइन किया गया है, जिसे अन्यथा अनुमति नहीं है (उदाहरण के लिए, अनधिकृत उपयोगकर्ता के लिए) और अधिकांशतः इसके अस्तित्व या अन्य सॉफ़्टवेयर के अस्तित्व को छुपाता है।<ref name="McAfee1"/> अर्थात रूटकिट सामान्यतः गलत उद्देश्यों को पूरा करने के लिए बनाया जाता है। इसे इस तरह से बनाया जाता है कि ये कम्प्युटर या उस क्षेत्र में ऐसे स्थान पर भी कार्य करता है, जिस स्थान पर सॉफ्टवेयर को आम तौर पर अनुमति नहीं होती है।शब्द रूटकिट "रूट" का यौगिक है (यूनिक्स-जैसे ऑपरेटिंग सिस्टम पर विशेषाधिकार प्राप्त अकाउंट का पारंपरिक नाम) और शब्द किट (जो उपकरण को लागू करने वाले सॉफ़्टवेयर घटकों को संदर्भित करता है)।<ref>{{cite book |editor-last1=Colbert |editor-first1=Edward J. M. |editor-last2=Kott |editor-first2=Alexander| last1=Evancich|first1=N.|last2=Li|first2=J.|page=100|date=2016-08-23 |publisher=Springer |title=एससीएडीए और अन्य औद्योगिक नियंत्रण प्रणालियों की साइबर सुरक्षा|chapter=6.2.3 Rootkits |chapter-url=https://books.google.com/books?id=4ZTlDAAAQBAJ&pg=PA100 |isbn=9783319321257|via=[[Google Books]]}}</ref> रूटकिट शब्द का [[मैलवेयर]] के साथ जुड़ाव के कारण नकारात्मक अर्थ है।<ref name="McAfee1"/>


रूटकिट इंस्टॉलेशन को स्वचालित किया जा सकता है, या एक [[हैकर (कंप्यूटर सुरक्षा)]] रूट या एडमिनिस्ट्रेटर एक्सेस प्राप्त करने के बाद इसे इंस्टॉल कर सकता है।<ref>{{Cite web|date=2021-04-09|title=रूटकिट क्या है - परिभाषा और व्याख्या|url=https://www.kaspersky.com/resource-center/definitions/what-is-rootkit|access-date=2021-11-13|website=www.kaspersky.com|language=en}}</ref> इस पहुंच को प्राप्त करना एक प्रणाली पर सीधे हमले का परिणाम है, अर्थात भेद्यता (जैसे [[विशेषाधिकार वृद्धि]]) या [[पासवर्ड]] ([[पासवर्ड क्रैकिंग]] या [[सोशल इंजीनियरिंग (सुरक्षा)|सोशल इंजीनियरिंग]] रणनीति जैसे "फ़िशिंग" द्वारा प्राप्त किया गया) एक बार इंस्टॉल हो जाने पर, घुसपैठ को छुपाना और साथ ही विशेषाधिकार प्राप्त पहुंच को बनाए रखना संभव हो जाता है। किसी सिस्टम पर पूर्ण नियंत्रण का अर्थ है कि विद्यमान सॉफ़्टवेयर को संशोधित किया जा सकता है, जिसमें वह सॉफ़्टवेयर भी सम्मलित है जो अन्यथा इसका पता लगाने या इसे रोकने के लिए उपयोग किया जा सकता है।
रूटकिट इंस्टॉलेशन को स्वचालित किया जा सकता है, या [[हैकर (कंप्यूटर सुरक्षा)]] रूट या एडमिनिस्ट्रेटर एक्सेस प्राप्त करने के बाद इसे इंस्टॉल कर सकता है।<ref>{{Cite web|date=2021-04-09|title=रूटकिट क्या है - परिभाषा और व्याख्या|url=https://www.kaspersky.com/resource-center/definitions/what-is-rootkit|access-date=2021-11-13|website=www.kaspersky.com|language=en}}</ref> इस पहुंच को प्राप्त करना प्रणाली पर सीधे हमले का परिणाम है, अर्थात भेद्यता (जैसे [[विशेषाधिकार वृद्धि]]) या [[पासवर्ड]] ([[पासवर्ड क्रैकिंग]] या [[सोशल इंजीनियरिंग (सुरक्षा)|सोशल इंजीनियरिंग]] रणनीति जैसे "फ़िशिंग" द्वारा प्राप्त किया गया) बार इंस्टॉल हो जाने पर, घुसपैठ को छुपाना और साथ ही विशेषाधिकार प्राप्त पहुंच को बनाए रखना संभव हो जाता है। किसी सिस्टम पर पूर्ण नियंत्रण का अर्थ है कि विद्यमान सॉफ़्टवेयर को संशोधित किया जा सकता है, जिसमें वह सॉफ़्टवेयर भी सम्मलित है जो अन्यथा इसका पता लगाने या इसे रोकने के लिए उपयोग किया जा सकता है।


रूटकिट का पता लगाना कठिन है क्योंकि एक रूटकिट उस सॉफ़्टवेयर को नष्ट करने में सक्षम हो सकता है जो इसे खोजने का उद्देश्य रखता है। पता लगाने के तरीकों में एक वैकल्पिक और विश्वसनीय [[ऑपरेटिंग सिस्टम]], व्यवहार-आधारित विधि, हस्ताक्षर स्कैनिंग, अंतर स्कैनिंग और [[कोर निपात|मेमोरी डंप]] विश्लेषण का उपयोग करना सम्मलित है। हटाना जटिल या व्यावहारिक रूप से असंभव हो सकता है, विशेषकर उन स्थितियों में जहां रूटकिट [[कर्नेल (ऑपरेटिंग सिस्टम)]] में रहता है; ऑपरेटिंग सिस्टम की पुनर्स्थापना समस्या का एकमात्र उपलब्ध समाधान हो सकता है। [[फर्मवेयर]] रूटकिट के साथ काम करते समय, हटाने के लिए [[संगणक धातु सामग्री]] प्रतिस्थापन या विशेष उपकरण की आवश्यकता हो सकती है।
रूटकिट का पता लगाना कठिन है क्योंकि रूटकिट उस सॉफ़्टवेयर को नष्ट करने में सक्षम हो सकता है जो इसे खोजने का उद्देश्य रखता है। पता लगाने के तरीकों में वैकल्पिक और विश्वसनीय [[ऑपरेटिंग सिस्टम]], व्यवहार-आधारित विधि, हस्ताक्षर स्कैनिंग, अंतर स्कैनिंग और [[कोर निपात|मेमोरी डंप]] विश्लेषण का उपयोग करना सम्मलित है। हटाना जटिल या व्यावहारिक रूप से असंभव हो सकता है, विशेषकर उन स्थितियों में जहां रूटकिट [[कर्नेल (ऑपरेटिंग सिस्टम)]] में रहता है; ऑपरेटिंग सिस्टम की पुनर्स्थापना समस्या का एकमात्र उपलब्ध समाधान हो सकता है। [[फर्मवेयर]] रूटकिट के साथ काम करते समय, हटाने के लिए [[संगणक धातु सामग्री]] प्रतिस्थापन या विशेष उपकरण की आवश्यकता हो सकती है।


== इतिहास ==
== इतिहास ==
शब्द रूटकिट या रूट किट मूल रूप से एक यूनिक्स जैसे ऑपरेटिंग सिस्टम के लिए प्रशासनिक उपकरणों के द्वेषपूर्ण रूप से संशोधित सेट को संदर्भित करता है जो सुपरयूजर एक्सेस प्रदान करता है।<ref name="Symantec">{{Cite web
शब्द रूटकिट या रूट किट मूल रूप से यूनिक्स जैसे ऑपरेटिंग सिस्टम के लिए प्रशासनिक उपकरणों के द्वेषपूर्ण रूप से संशोधित सेट को संदर्भित करता है जो सुपरयूजर एक्सेस प्रदान करता है।<ref name="Symantec">{{Cite web
  | url=http://www.symantec.com/avcenter/reference/windows.rootkit.overview.pdf
  | url=http://www.symantec.com/avcenter/reference/windows.rootkit.overview.pdf
  | title=विंडोज रूटकिट अवलोकन| publisher=[[NortonLifeLock|Symantec]]
  | title=विंडोज रूटकिट अवलोकन| publisher=[[NortonLifeLock|Symantec]]
Line 15: Line 15:
  | archive-date=2010-12-14  |archive-url=https://web.archive.org/web/20101214100124/http://www.symantec.com/avcenter/reference/windows.rootkit.overview.pdf
  | archive-date=2010-12-14  |archive-url=https://web.archive.org/web/20101214100124/http://www.symantec.com/avcenter/reference/windows.rootkit.overview.pdf
  | url-status=dead
  | url-status=dead
  }}</ref> यदि एक घुसपैठिया एक रूटकिट के साथ एक सिस्टम पर मानक प्रशासनिक उपकरण को बदल सकता है, तो घुसपैठिया वैध सिस्टम प्रशासक से इन गतिविधियों को छुपाते हुए सिस्टम पर रूट एक्सेस प्राप्त कर सकता है। ये पहली पीढ़ी के रूटकिट [[ओपन सोर्स ट्रिपवायर]] जैसे उपकरणों का उपयोग करके पता लगाने के लिए तुच्छ थे, जिन्हें समान जानकारी तक पहुंचने के लिए समझौता नहीं किया गया था।<ref name="Sparks-Bar">{{cite journal
  }}</ref> यदि घुसपैठिया रूटकिट के साथ सिस्टम पर मानक प्रशासनिक उपकरण को बदल सकता है, तो घुसपैठिया वैध सिस्टम प्रशासक से इन गतिविधियों को छुपाते हुए सिस्टम पर रूट एक्सेस प्राप्त कर सकता है। ये पहली पीढ़ी के रूटकिट [[ओपन सोर्स ट्रिपवायर]] जैसे उपकरणों का उपयोग करके पता लगाने के लिए तुच्छ थे, जिन्हें समान जानकारी तक पहुंचने के लिए समझौता नहीं किया गया था।<ref name="Sparks-Bar">{{cite journal
  | journal=[[Phrack]]
  | journal=[[Phrack]]
  | volume=0xb
  | volume=0xb
Line 31: Line 31:
  | year=2008
  | year=2008
  | isbn=978-1-59749-240-9
  | isbn=978-1-59749-240-9
  |author1=Andrew Hay |author2=Daniel Cid |author3=Rory Bray|via=[[Google Books]] }}</ref> 1983 में [[ट्यूरिंग पुरस्कार]] प्राप्त करने पर दिए गए व्याख्यान में, [[बेल लैब्स]] के [[केन थॉम्पसन]], [[यूनिक्स]] के रचनाकारों में से एक, ने यूनिक्स वितरण में [[सी संकलक]] को नष्ट करने के बारे में सिद्धांत दिया और शोषण पर चर्चा की। संशोधित संकलक यूनिक्स को संकलित करने के प्रयासों का पता लगाएगा <code>लॉग इन</code> आदेश दें और परिवर्तित कोड उत्पन्न करें जो न मात्र उपयोगकर्ता के सही पासवर्ड को स्वीकार करेगा, बल्कि हमलावर को ज्ञात एक अतिरिक्त [[पिछले दरवाजे (कंप्यूटिंग)|पिछले दरवाजे]] का पासवर्ड भी होगा। इसके अतिरिक्त, कंपाइलर कंपाइलर के एक नए संस्करण को संकलित करने के प्रयासों का पता लगाएगा, और उसी कारनामे को नए कंपाइलर में सम्मिलित करेगा। के लिए स्रोत कोड की समीक्षा <code>लॉग इन</code> कमांड या अपडेटेड कंपाइलर किसी भी द्वेषपूर्ण कोड को प्रकट नहीं करेगा।<ref name="Turing Award Lecture">{{cite journal
  |author1=Andrew Hay |author2=Daniel Cid |author3=Rory Bray|via=[[Google Books]] }}</ref> 1983 में [[ट्यूरिंग पुरस्कार]] प्राप्त करने पर दिए गए व्याख्यान में, [[बेल लैब्स]] के [[केन थॉम्पसन]], [[यूनिक्स]] के रचनाकारों में से एक, ने यूनिक्स वितरण में [[सी संकलक]] को नष्ट करने के बारे में सिद्धांत दिया और शोषण पर चर्चा की। संशोधित संकलक यूनिक्स को संकलित करने के प्रयासों का पता लगाएगा <code>लॉग इन</code> आदेश दें और परिवर्तित कोड उत्पन्न करें जो न मात्र उपयोगकर्ता के सही पासवर्ड को स्वीकार करेगा, बल्कि हमलावर को ज्ञात अतिरिक्त [[पिछले दरवाजे (कंप्यूटिंग)|बैक डोर]] का पासवर्ड भी होगा। इसके अतिरिक्त, कंपाइलर कंपाइलर के नए संस्करण को संकलित करने के प्रयासों का पता लगाएगा, और उसी कारनामे को नए कंपाइलर में सम्मिलित करेगा। के लिए स्रोत कोड की समीक्षा <code>लॉग इन</code> कमांड या अपडेटेड कंपाइलर किसी भी द्वेषपूर्ण कोड को प्रकट नहीं करेगा।<ref name="Turing Award Lecture">{{cite journal
  | journal=Communications of the ACM
  | journal=Communications of the ACM
  | title=ट्रस्टिंग ट्रस्ट पर विचार| volume=27
  | title=ट्रस्टिंग ट्रस्ट पर विचार| volume=27
Line 42: Line 42:
  | doi=10.1145/358198.358210
  | doi=10.1145/358198.358210
  | doi-access=free
  | doi-access=free
  }}</ref> यह कारनामा एक रूटकिट के बराबर था।
  }}</ref> यह कारनामा रूटकिट के बराबर था।


व्यक्तिगत कंप्यूटर को लक्षित करने वाला पहला प्रलेखित [[कंप्यूटर वायरस]], जिसे 1986 में खोजा गया था, ने स्वयं को छिपाने के लिए [[क्लोकिंग]] तकनीकों का उपयोग किया: ब्रेन वायरस ने [[प्रारंभिक क्षेत्र]] को पढ़ने के प्रयासों को रोका, और इन्हें डिस्क पर कहीं और पुनर्निर्देशित किया, जहां मूल बूट सेक्टर की एक प्रति रखी गई थी<ref name="McAfee1">{{cite web
व्यक्तिगत कंप्यूटर को लक्षित करने वाला पहला प्रलेखित [[कंप्यूटर वायरस]], जिसे 1986 में खोजा गया था, ने स्वयं को छिपाने के लिए [[क्लोकिंग]] तकनीकों का उपयोग किया: ब्रेन वायरस ने [[प्रारंभिक क्षेत्र]] को पढ़ने के प्रयासों को रोका, और इन्हें डिस्क पर कहीं और पुनर्निर्देशित किया, जहां मूल बूट सेक्टर की प्रति रखी गई थी<ref name="McAfee1">{{cite web
  | url=http://www.mcafee.com/us/local_content/white_papers/threat_center/wp_akapoor_rootkits1_en.pdf
  | url=http://www.mcafee.com/us/local_content/white_papers/threat_center/wp_akapoor_rootkits1_en.pdf
  | title=रूटकिट्स, 3 का भाग 1: बढ़ता हुआ खतरा| publisher=[[McAfee]]
  | title=रूटकिट्स, 3 का भाग 1: बढ़ता हुआ खतरा| publisher=[[McAfee]]
Line 52: Line 52:
}}</ref> समय के साथ, डॉस-वायरस क्लोकिंग विधियां अधिक परिष्कृत हो गईं। उन्नत तकनीकों में फाइलों में अनधिकृत संशोधनों को छिपाने के लिए लो-लेवल डिस्क [[INT 13H]] BIOS [[रुकावट डालना]] कॉल को हुक करना सम्मलित है।<ref name="McAfee1"/>
}}</ref> समय के साथ, डॉस-वायरस क्लोकिंग विधियां अधिक परिष्कृत हो गईं। उन्नत तकनीकों में फाइलों में अनधिकृत संशोधनों को छिपाने के लिए लो-लेवल डिस्क [[INT 13H]] BIOS [[रुकावट डालना]] कॉल को हुक करना सम्मलित है।<ref name="McAfee1"/>


[[विंडोज एनटी]] ऑपरेटिंग सिस्टम के लिए पहला द्वेषपूर्ण रूटकिट 1999 में दिखाई दिया: एनटीआरओटकिट नामक एक ट्रोजन जिसे [[ग्रेग होगलंड]] द्वारा बनाया गया था।<ref name="Hoglund"/>इसके बाद 2003 में हैकर डिफेंडर द्वारा किया गया।<ref name="McAfee1"/>पहला रूटकिट लक्ष्यीकरण [[macOS]] 2009 में सामने आया,<ref>{{cite conference
[[विंडोज एनटी]] ऑपरेटिंग सिस्टम के लिए पहला द्वेषपूर्ण रूटकिट 1999 में दिखाई दिया: एनटीआरओटकिट नामक ट्रोजन जिसे [[ग्रेग होगलंड]] द्वारा बनाया गया था।<ref name="Hoglund"/>इसके बाद 2003 में हैकर डिफेंडर द्वारा किया गया।<ref name="McAfee1"/>पहला रूटकिट लक्ष्यीकरण [[macOS]] 2009 में सामने आया,<ref>{{cite conference
  | url=https://www.blackhat.com/presentations/bh-usa-09/DAIZOVI/BHUSA09-Daizovi-AdvOSXRootkits-SLIDES.pdf
  | url=https://www.blackhat.com/presentations/bh-usa-09/DAIZOVI/BHUSA09-Daizovi-AdvOSXRootkits-SLIDES.pdf
  | title=उन्नत मैक ओएस एक्स रूटकिट्स| first=Dino
  | title=उन्नत मैक ओएस एक्स रूटकिट्स| first=Dino
Line 69: Line 69:
[[File:RootkitRevealer.png|thumb|right|[[रूटकिट रिवीलर]] का स्क्रीनशॉट, [[विस्तारित कॉपी सुरक्षा]] रूटकिट द्वारा छिपी हुई फाइलों को दिखा रहा है]]
[[File:RootkitRevealer.png|thumb|right|[[रूटकिट रिवीलर]] का स्क्रीनशॉट, [[विस्तारित कॉपी सुरक्षा]] रूटकिट द्वारा छिपी हुई फाइलों को दिखा रहा है]]
{{Main|सोनी बीएमजी कॉपी प्रोटेक्शन रूटकिट स्कैंडल}}
{{Main|सोनी बीएमजी कॉपी प्रोटेक्शन रूटकिट स्कैंडल}}
2005 में, [[Sony BMG]] ने [[कॉपी सुरक्षा]] और [[डिजिटल अधिकार प्रबंधन]] सॉफ़्टवेयर के साथ [[कॉम्पैक्ट डिस्क]] प्रकाशित की, जिसे विस्तारित कॉपी सुरक्षा कहा जाता है, जिसे सॉफ़्टवेयर कंपनी फ़र्स्ट 4 इंटरनेट द्वारा बनाया गया है। सॉफ्टवेयर में एक म्यूजिक प्लेयर सम्मलित था परंतु चुपचाप एक रूटकिट स्थापित किया गया था जो सीडी तक पहुंचने के लिए उपयोगकर्ता की क्षमता को सीमित करता था।<ref name="CA-XCP">{{cite web
2005 में, [[Sony BMG]] ने [[कॉपी सुरक्षा]] और [[डिजिटल अधिकार प्रबंधन]] सॉफ़्टवेयर के साथ [[कॉम्पैक्ट डिस्क]] प्रकाशित की, जिसे विस्तारित कॉपी सुरक्षा कहा जाता है, जिसे सॉफ़्टवेयर कंपनी फ़र्स्ट 4 इंटरनेट द्वारा बनाया गया है। सॉफ्टवेयर में म्यूजिक प्लेयर सम्मलित था परंतु चुपचाप रूटकिट स्थापित किया गया था जो सीडी तक पहुंचने के लिए उपयोगकर्ता की क्षमता को सीमित करता था।<ref name="CA-XCP">{{cite web
  | url=http://www.ca.com/us/securityadvisor/pest/pest.aspx?id=453096362
  | url=http://www.ca.com/us/securityadvisor/pest/pest.aspx?id=453096362
  | publisher=[[Computer Associates]]
  | publisher=[[Computer Associates]]
Line 77: Line 77:
  |archive-date=2010-08-18
  |archive-date=2010-08-18
  |url-status=dead
  |url-status=dead
}}</ref> सॉफ्टवेयर इंजीनियर [[मार्क रोसिनोविच]], जिन्होंने रूटकिट डिटेक्शन टूल रूटकिटरिवेलर बनाया था, ने अपने एक कंप्यूटर पर रूटकिट की खोज की।<ref name="McAfee1"/>आगामी घोटाले ने रूटकिट्स के बारे में जनता की जागरूकता बढ़ा दी।<ref name="markrussinovich">{{cite web
}}</ref> सॉफ्टवेयर इंजीनियर [[मार्क रोसिनोविच]], जिन्होंने रूटकिट डिटेक्शन टूल रूटकिटरिवेलर बनाया था, ने अपने कंप्यूटर पर रूटकिट की खोज की।<ref name="McAfee1"/>आगामी घोटाले ने रूटकिट्स के बारे में जनता की जागरूकता बढ़ा दी।<ref name="markrussinovich">{{cite web
  | url=https://blogs.technet.microsoft.com/markrussinovich/2005/10/31/sony-rootkits-and-digital-rights-management-gone-too-far/
  | url=https://blogs.technet.microsoft.com/markrussinovich/2005/10/31/sony-rootkits-and-digital-rights-management-gone-too-far/
  | title=सोनी, रूटकिट्स और डिजिटल राइट्स मैनेजमेंट बहुत दूर चला गया| last=Russinovich
  | title=सोनी, रूटकिट्स और डिजिटल राइट्स मैनेजमेंट बहुत दूर चला गया| last=Russinovich
Line 86: Line 86:
  | date=2005-10-31
  | date=2005-10-31
  | access-date=2010-08-16
  | access-date=2010-08-16
}}</ref> स्वयं को छिपाने के लिए, रूटकिट उपयोगकर्ता को $sys$ से शुरू होने वाली किसी भी फ़ाइल से छुपाता है। रोसिनोविच की रिपोर्ट के तुरंत बाद, मैलवेयर सामने आया जिसने प्रभावित सिस्टम की भेद्यता का लाभ उठाया।<ref name="McAfee1"/>[[बीबीसी]] के एक विश्लेषक ने इसे [[जनसंपर्क]] दुःस्वप्न कहा।<ref>{{cite news
}}</ref> स्वयं को छिपाने के लिए, रूटकिट उपयोगकर्ता को $sys$ से शुरू होने वाली किसी भी फ़ाइल से छुपाता है। रोसिनोविच की रिपोर्ट के तुरंत बाद, मैलवेयर सामने आया जिसने प्रभावित सिस्टम की भेद्यता का लाभ उठाया।<ref name="McAfee1"/>[[बीबीसी]] के विश्लेषक ने इसे [[जनसंपर्क]] दुःस्वप्न कहा।<ref>{{cite news
  | url=http://news.bbc.co.uk/2/hi/technology/4456970.stm
  | url=http://news.bbc.co.uk/2/hi/technology/4456970.stm
  | title=सोनी की दीर्घकालिक रूटकिट सीडी संकट| date= 2005-11-21
  | title=सोनी की दीर्घकालिक रूटकिट सीडी संकट| date= 2005-11-21
Line 96: Line 96:
  | first=Ed
  | first=Ed
  | last=Felton
  | last=Felton
}}</ref> कंपनी ने अंततः सीडी को वापस बुला लिया। संयुक्त राज्य अमेरिका में, सोनी बीएमजी के खिलाफ एक [[वर्ग कार्रवाई|क्लास-एक्शन]] मुकदमा लगाया था।<ref>{{cite journal
}}</ref> कंपनी ने अंततः सीडी को वापस बुला लिया। संयुक्त राज्य अमेरिका में, सोनी बीएमजी के खिलाफ [[वर्ग कार्रवाई|क्लास-एक्शन]] मुकदमा लगाया था।<ref>{{cite journal
  | url = https://www.newscientist.com/article/dn8307
  | url = https://www.newscientist.com/article/dn8307
  | title = सोनी बीएमजी ने म्यूजिक सीडी पर क्लोकिंग सॉफ्टवेयर पर मुकदमा दायर किया| last = Knight
  | title = सोनी बीएमजी ने म्यूजिक सीडी पर क्लोकिंग सॉफ्टवेयर पर मुकदमा दायर किया| last = Knight
Line 115: Line 115:
  | url=http://www.tiscali.co.uk/news/newswire.php/news/reuters/2006/02/03/odd/34greekwatergate34scandalsendspoliticalshockwaves.html
  | url=http://www.tiscali.co.uk/news/newswire.php/news/reuters/2006/02/03/odd/34greekwatergate34scandalsendspoliticalshockwaves.html
  | date=September 2012
  | date=September 2012
}}</ref> वोडाफोन [[यूनान]] नेटवर्क पर 100 से अधिक [[चल दूरभाष]] की अवैध [[टेलीफोन टैपिंग]] सम्मलित थी, जो ज्यादातर ग्रीस सरकार के सदस्यों और शीर्ष-श्रेणी के सिविल सेवकों के थे। उन्होंने अगस्त 2004 की शुरुआत के पास शुरू हुए और अपराधियों की पहचान का पता लगाए बिना मार्च 2005 में हटा दिए गए। घुसपैठियों ने एरिक्सन के [[एक्स टेलीफोन एक्सचेंज]] को निशाना बनाते हुए एक रूटकिट स्थापित किया। IEEE स्पेक्ट्रम के अनुसार, यह पहली बार था जब किसी विशेष प्रयोजन प्रणाली पर रूटकिट देखा गया था, इस मामले में एरिक्सन टेलीफोन स्विच।<ref name="ieee">{{cite news|author1=Vassilis Prevelakis|author2=Diomidis Spinellis|date=July 2007|title=एथेंस मामला|url=https://spectrum.ieee.org/telecom/security/the-athens-affair/0}}</ref> रूटकिट को एक्सचेंज की मेमोरी को पैच करने के लिए डिज़ाइन किया गया था जब यह चल रहा था, ऑडिट लॉग को अक्षम करते हुए [[वायरटैपिंग]] को सक्षम करें, सक्रिय प्रक्रियाओं और सक्रिय डेटा ब्लॉक को सूचीबद्ध करने वाले कमांड को पैच करें और डेटा ब्लॉक [[अंततः,]] सत्यापन कमांड को संशोधित करें। एक बैकडोर ने एक ऑपरेटर को [[sysadmin]] स्थिति के साथ एक्सचेंज के लेनदेन लॉग, अलार्म और निगरानी क्षमता से संबंधित एक्सेस कमांड को निष्क्रिय करने की अनुमति दी।<ref name="ieee"/>घुसपैठियों द्वारा एक दोषपूर्ण अद्यतन स्थापित करने के बाद रूटकिट की खोज की गई, जिसके कारण [[एसएमएस]] पाठ वितरित नहीं हो पाए, जिससे एक स्वचालित विफलता रिपोर्ट उत्पन्न हुई। एरिक्सन इंजीनियरों को गलती की जांच करने के लिए बुलाया गया और रूटकिट और अवैध निगरानी सॉफ्टवेयर के साथ निगरानी किए जा रहे फोन नंबरों की सूची वाले छिपे हुए डेटा ब्लॉक की खोज की।
}}</ref> वोडाफोन [[यूनान]] नेटवर्क पर 100 से अधिक [[चल दूरभाष]] की अवैध [[टेलीफोन टैपिंग]] सम्मलित थी, जो ज्यादातर ग्रीस सरकार के सदस्यों और शीर्ष-श्रेणी के सिविल सेवकों के थे। उन्होंने अगस्त 2004 की प्रारंभ के पास शुरू हुए और अपराधियों की पहचान का पता लगाए बिना मार्च 2005 में हटा दिए गए। घुसपैठियों ने एरिक्सन के [[एक्स टेलीफोन एक्सचेंज]] को निशाना बनाते हुए रूटकिट स्थापित किया। IEEE स्पेक्ट्रम के अनुसार, यह पहली बार था जब किसी विशेष प्रयोजन प्रणाली पर रूटकिट देखा गया था, इस मामले में एरिक्सन टेलीफोन स्विच।<ref name="ieee">{{cite news|author1=Vassilis Prevelakis|author2=Diomidis Spinellis|date=July 2007|title=एथेंस मामला|url=https://spectrum.ieee.org/telecom/security/the-athens-affair/0}}</ref> रूटकिट को एक्सचेंज की मेमोरी को पैच करने के लिए डिज़ाइन किया गया था जब यह चल रहा था, ऑडिट लॉग को अक्षम करते हुए [[वायरटैपिंग]] को सक्षम करें, सक्रिय प्रक्रियाओं और सक्रिय डेटा ब्लॉक को सूचीबद्ध करने वाले कमांड को पैच करें और डेटा ब्लॉक [[अंततः,]] सत्यापन कमांड को संशोधित करें। बैकडोर ने ऑपरेटर को [[sysadmin|स्य्सएडमिन]] स्थिति के साथ एक्सचेंज के लेनदेन लॉग, अलार्म और निगरानी क्षमता से संबंधित एक्सेस कमांड को निष्क्रिय करने की अनुमति दी।<ref name="ieee"/>घुसपैठियों द्वारा दोषपूर्ण अद्यतन स्थापित करने के बाद रूटकिट की खोज की गई, जिसके कारण [[एसएमएस]] पाठ वितरित नहीं हो पाए, जिससे स्वचालित विफलता रिपोर्ट उत्पन्न हुई। एरिक्सन इंजीनियरों को गलती की जांच करने के लिए बुलाया गया और रूटकिट और अवैध निगरानी सॉफ्टवेयर के साथ निगरानी किए जा रहे फोन नंबरों की सूची वाले छिपे हुए डेटा ब्लॉक की खोज की।


== उपयोग ==
== उपयोग ==
आधुनिक रूटकिट पहुँच को उन्नत नहीं करते हैं,<ref name="Symantec"/>बल्कि चोरी छुपे क्षमताओं को जोड़कर एक और सॉफ़्टवेयर पेलोड को अनभिज्ञेय बनाने के लिए उपयोग किया जाता है।<ref name="Hoglund">{{cite book
आधुनिक रूटकिट पहुँच को उन्नत नहीं करते हैं,<ref name="Symantec"/> बल्कि चोरी छुपे क्षमताओं को जोड़कर और सॉफ़्टवेयर पेलोड को अनभिज्ञेय बनाने के लिए उपयोग किया जाता है।<ref name="Hoglund">{{cite book
  | url=https://books.google.com/books?id=fDxg1W3eT2gC
  | url=https://books.google.com/books?id=fDxg1W3eT2gC
  | title=रूटकिट्स: विंडोज कर्नेल को सबवर्ट करना|author1=Greg Hoglund |author2=James Butler | publisher=Addison-Wesley
  | title=रूटकिट्स: विंडोज कर्नेल को सबवर्ट करना|author1=Greg Hoglund |author2=James Butler | publisher=Addison-Wesley
Line 125: Line 125:
  | isbn=978-0-321-29431-9
  | isbn=978-0-321-29431-9
  |via=[[Google Books]]
  |via=[[Google Books]]
}}</ref> अधिकांश रूटकिट को मालवेयर के रूप में वर्गीकृत किया जाता है, क्योंकि जिन पेलोड के साथ उन्हें बंडल किया जाता है वे द्वेषपूर्ण होते हैं। उदाहरण के लिए, एक पेलोड उपयोगकर्ता के पासवर्ड, [[क्रेडिट कार्ड]] की जानकारी, कंप्यूटिंग संसाधनों को गुप्त रूप से चुरा सकता है या अन्य अनधिकृत गतिविधियों का संचालन कर सकता है। रूटकिट की एक छोटी संख्या उनके उपयोगकर्ताओं द्वारा उपयोगिता अनुप्रयोगों के रूप में मानी जा सकती है: उदाहरण के लिए, एक रूटकिट [[सीडी रॉम]]-इम्यूलेशन ड्राइवर को लंबा कर सकता है, वीडियो गेम उपयोगकर्ताओं को एंटी-पाइरेसी उपायों को हराने की अनुमति देना, जिसके लिए मूल स्थापना मीडिया को एक भौतिक ऑप्टिकल ड्राइव में सम्मिलित करने की आवश्यकता होती है ताकि यह सत्यापित किया जा सके कि सॉफ़्टवेयर वैध रूप से खरीदा गया था।
}}</ref> अधिकांश रूटकिट को मालवेयर के रूप में वर्गीकृत किया जाता है, क्योंकि जिन पेलोड के साथ उन्हें बंडल किया जाता है वे द्वेषपूर्ण होते हैं। उदाहरण के लिए, पेलोड उपयोगकर्ता के पासवर्ड, [[क्रेडिट कार्ड]] की जानकारी, कंप्यूटिंग संसाधनों को गुप्त रूप से चुरा सकता है या अन्य अनधिकृत गतिविधियों का संचालन कर सकता है। रूटकिट की छोटी संख्या उनके उपयोगकर्ताओं द्वारा उपयोगिता अनुप्रयोगों के रूप में मानी जा सकती है: उदाहरण के लिए, रूटकिट [[सीडी रॉम]]-इम्यूलेशन ड्राइवर को लंबा कर सकता है, वीडियो गेम उपयोगकर्ताओं को एंटी-पाइरेसी उपायों को हराने की अनुमति देना, जिसके लिए मूल स्थापना मीडिया को भौतिक ऑप्टिकल ड्राइव में सम्मिलित करने की आवश्यकता होती है ताकि यह सत्यापित किया जा सके कि सॉफ़्टवेयर वैध रूप से खरीदा गया था।


रूटकिट्स और उनके पेलोड के कई उपयोग हैं:
रूटकिट्स और उनके पेलोड के कई उपयोग हैं:
*एक हमलावर को पिछले दरवाजे के माध्यम से पूर्ण पहुंच प्रदान करें,अनधिकृत पहुंच की अनुमति दें, उदाहरण के लिए, दस्तावेज़ों को चुराना या गलत करना। इसे पूरा करने के तरीकों में से एक लॉगिन तंत्र को हटाना है, जैसे कि यूनिक्स जैसी प्रणालियों पर / बिन / लॉगिन प्रोग्राम या विंडोज़ पर ग्राफिकल पहचान और [[प्रमाणीकरण]]प्रतिस्थापन सामान्य रूप से कार्य करता प्रतीत होता है, परंतु एक गुप्त लॉगिन संयोजन को भी स्वीकार करता है जो एक हमलावर को मानक प्रमाणीकरण और प्राधिकरण तंत्र को दरकिनार करते हुए प्रशासनिक विशेषाधिकारों के साथ सिस्टम तक सीधी पहुंच की अनुमति देता है।
*एक हमलावर को बैक डोर के माध्यम से पूर्ण पहुंच प्रदान करें,अनधिकृत पहुंच की अनुमति दें, उदाहरण के लिए, दस्तावेज़ों को चुराना या गलत करना। इसे पूरा करने के तरीकों में से लॉगिन तंत्र को हटाना है, जैसे कि यूनिक्स जैसी प्रणालियों पर / बिन / लॉगिन प्रोग्राम या विंडोज़ पर ग्राफिकल पहचान और [[प्रमाणीकरण]] है। प्रतिस्थापन सामान्य रूप से कार्य करता प्रतीत होता है, परंतु गुप्त लॉगिन संयोजन को भी स्वीकार करता है जो हमलावर को मानक प्रमाणीकरण और प्राधिकरण तंत्र को दरकिनार करते हुए प्रशासनिक विशेषाधिकारों के साथ सिस्टम तक सीधी पहुंच की अनुमति देता है।
*अन्य मैलवेयर छुपाएं, विशेष रूप से पासवर्ड-चोरी करने वाले [[कीस्ट्रोक लॉगिंग]] और कंप्यूटर वायरस।<ref>{{cite journal
*अन्य मैलवेयर, विशेष रूप से पासवर्ड-चोरी करने वाले [[कीस्ट्रोक लॉगिंग]] और कंप्यूटर वायरस है।<ref>{{cite journal
  |last        = Russinovich
  |last        = Russinovich
  |first      = Mark
  |first      = Mark
Line 142: Line 142:
  |archive-date = 2012-09-18
  |archive-date = 2012-09-18
}}</ref>
}}</ref>
* अन्य कंप्यूटरों पर हमलों के लिए समझौता मशीन को एक [[ज़ोंबी कंप्यूटर]] के रूप में उपयुक्त करें। (हमला हमलावर के सिस्टम के अतिरिक्त समझौता किए गए सिस्टम या नेटवर्क से उत्पन्न होता है।) ज़ोंबी कंप्यूटर सामान्यतः बड़े [[botnet|बॉटनेट्स]] के सदस्य होते हैं जो अन्य चीजों के साथ-डिनायल-ऑफ-सर्विस हमलों को लॉन्च कर सकते हैं, [[ईमेल]] [[स्पैम (इलेक्ट्रॉनिक)|स्पैम]] वितरित करें, और क्लिक धोखाधड़ी करें।<ref>{{cite web|url=https://www.washingtonpost.com/politics/2021/07/01/cybersecurity-202-dojs-future-is-disrupting-hackers-not-just-indicting-them/|title=साइबर सुरक्षा 202: DOJ का भविष्य हैकर्स को बाधित करने में है, न कि केवल उन पर अभियोग लगाने में|last=Marks|first=Joseph|newspaper=[[The Washington Post]]|date=July 1, 2021|access-date=July 24, 2021}}</ref>
* अन्य कंप्यूटरों पर हमलों के लिए समझौता मशीन को [[ज़ोंबी कंप्यूटर]] के रूप में उपयुक्त करें। (हमला हमलावर के सिस्टम के अतिरिक्त समझौता किए गए सिस्टम या नेटवर्क से उत्पन्न होता है।) ज़ोंबी कंप्यूटर सामान्यतः बड़े [[botnet|बॉटनेट्स]] के सदस्य होते हैं जो अन्य चीजों के साथ-डिनायल-ऑफ-सर्विस हमलों को लॉन्च कर सकते हैं, [[ईमेल]] [[स्पैम (इलेक्ट्रॉनिक)|स्पैम]] वितरित करें, और क्लिक धोखाधड़ी करें।<ref>{{cite web|url=https://www.washingtonpost.com/politics/2021/07/01/cybersecurity-202-dojs-future-is-disrupting-hackers-not-just-indicting-them/|title=साइबर सुरक्षा 202: DOJ का भविष्य हैकर्स को बाधित करने में है, न कि केवल उन पर अभियोग लगाने में|last=Marks|first=Joseph|newspaper=[[The Washington Post]]|date=July 1, 2021|access-date=July 24, 2021}}</ref>
कुछ उदाहरणों में, रूटकिट वांछित कार्यक्षमता प्रदान करता है, और कंप्यूटर उपयोगकर्ता की ओर से अभिप्रायपूर्वक स्थापित किया जा सकता है:
कुछ उदाहरणों में, रूटकिट वांछित कार्यक्षमता प्रदान करता है, और कंप्यूटर उपयोगकर्ता की ओर से अभिप्रायपूर्वक स्थापित किया जा सकता है:
* हमलों का पता लगाएं, उदाहरण के लिए, हनीपोट में।<ref>{{Cite web
* हमलों का पता लगाएं, उदाहरण के लिए, हनीपोट में।<ref>{{Cite web
Line 163: Line 163:
  | url-status=dead
  | url-status=dead
  }}</ref> एल्कोहल 120% और [[डेमोन टूल्स]] गैर-विरोधी रूटकिट के व्यावसायिक उदाहरण हैं जिनका उपयोग [[SafeDisc]] और [[SecuROM]] जैसे कॉपी-प्रोटेक्शन मैकेनिज्म को हराने के लिए किया जाता है।<ref>{{cite journal|url=https://books.google.com/books?id=5-oDAAAAMBAJ&pg=PA89|title=सिमेंटेक अपने स्वयं के रूटकिट के लिए अद्यतन जारी करता है|page=89|journal=HWM|year=2006|issue=March|via=[[Google Books]]}}</ref> कैसपर्सकी एंटी-वायरस स्वयं को द्वेषपूर्ण कार्यों से बचाने के लिए रूटकिट जैसी तकनीकों का भी उपयोग करता है। यह सिस्टम गतिविधि को बाधित करने के लिए अपने स्वयं के [[डिवाइस ड्राइवर]] को लोड करता है, और फिर अन्य प्रक्रियाओं को स्वयं को नुकसान पहुँचाने से रोकता है। इसकी प्रक्रियाएँ छिपी नहीं हैं, परंतु मानक विधियों द्वारा समाप्त नहीं की जा सकती हैं।
  }}</ref> एल्कोहल 120% और [[डेमोन टूल्स]] गैर-विरोधी रूटकिट के व्यावसायिक उदाहरण हैं जिनका उपयोग [[SafeDisc]] और [[SecuROM]] जैसे कॉपी-प्रोटेक्शन मैकेनिज्म को हराने के लिए किया जाता है।<ref>{{cite journal|url=https://books.google.com/books?id=5-oDAAAAMBAJ&pg=PA89|title=सिमेंटेक अपने स्वयं के रूटकिट के लिए अद्यतन जारी करता है|page=89|journal=HWM|year=2006|issue=March|via=[[Google Books]]}}</ref> कैसपर्सकी एंटी-वायरस स्वयं को द्वेषपूर्ण कार्यों से बचाने के लिए रूटकिट जैसी तकनीकों का भी उपयोग करता है। यह सिस्टम गतिविधि को बाधित करने के लिए अपने स्वयं के [[डिवाइस ड्राइवर]] को लोड करता है, और फिर अन्य प्रक्रियाओं को स्वयं को नुकसान पहुँचाने से रोकता है। इसकी प्रक्रियाएँ छिपी नहीं हैं, परंतु मानक विधियों द्वारा समाप्त नहीं की जा सकती हैं।
*एंटी-थेफ्ट प्रोटेक्शन: लैपटॉप में BIOS-आधारित रूटकिट सॉफ्टवेयर हो सकता है जो समय-समय पर एक केंद्रीय प्राधिकरण को रिपोर्ट करेगा, जिससे लैपटॉप की निगरानी की जा सकेगी, चोरी होने की स्थिति में सूचना को अक्षम या मिटा दिया जा सकेगा।<ref name="Ortega">{{cite conference
*एंटी-थेफ्ट प्रोटेक्शन: लैपटॉप में BIOS-आधारित रूटकिट सॉफ्टवेयर हो सकता है जो समय-समय पर केंद्रीय प्राधिकरण को रिपोर्ट करेगा, जिससे लैपटॉप की निगरानी की जा सकेगी, चोरी होने की स्थिति में सूचना को अक्षम या मिटा दिया जा सकेगा।<ref name="Ortega">{{cite conference
  | url = https://www.blackhat.com/presentations/bh-usa-09/ORTEGA/BHUSA09-Ortega-DeactivateRootkit-PAPER.pdf
  | url = https://www.blackhat.com/presentations/bh-usa-09/ORTEGA/BHUSA09-Ortega-DeactivateRootkit-PAPER.pdf
  | title = रूटकिट को निष्क्रिय करें: BIOS विरोधी चोरी प्रौद्योगिकियों पर हमला| last1 = Ortega
  | title = रूटकिट को निष्क्रिय करें: BIOS विरोधी चोरी प्रौद्योगिकियों पर हमला| last1 = Ortega
Line 190: Line 190:
== प्रकार ==
== प्रकार ==
{{Further|रिंग (कंप्यूटर सुरक्षा)}}
{{Further|रिंग (कंप्यूटर सुरक्षा)}}
रूटकिट कम से कम 69 प्रकार के रूटकिट हैं, फ़र्मवेयर में निम्नतम स्तर (उच्चतम विशेषाधिकारों के साथ) से लेकर [[कर्नेल (कंप्यूटर विज्ञान)|कर्नेल]] में संचालित होने वाले कम से कम विशेषाधिकार प्राप्त उपयोगकर्ता-आधारित वेरिएंट तक। इनमें से हाइब्रिड संयोजन फैले हुए हो सकते हैं, उदाहरण के लिए, उपयोगकर्ता मोड और कर्नेल मोड।<ref name="anson-forensics"/>
रूटकिट कम से कम 69 प्रकार के रूटकिट हैं, फ़र्मवेयर में निम्नतम स्तर (उच्चतम विशेषाधिकारों के साथ) से लेकर [[कर्नेल (कंप्यूटर विज्ञान)|कर्नेल]] में संचालित होने वाले कम से कम विशेषाधिकार प्राप्त उपयोगकर्ता-आधारित वेरिएंट तक। इनमें से हाइब्रिड संयोजन फैले हुए हो सकते हैं, उदाहरण के लिए, उपयोगकर्ता मोड और कर्नेल मोड।<ref name="anson-forensics"/>
=== उपयोगकर्ता मोड ===
=== उपयोगकर्ता मोड ===
[[File:CPU ring scheme.svg|thumb|right|कंप्यूटर सुरक्षा [[रिंग (कंप्यूटर सुरक्षा)]] (ध्यान दें कि हाइपरविजर|रिंग -1 नहीं दिखाया गया है)]]उपयोक्ता-मोड रूटकिट रिंग में चलते हैं, अन्य अनुप्रयोगों के साथ-साथ निम्न-स्तरीय सिस्टम प्रक्रियाओं के अतिरिक्त उपयोगकर्ता के रूप में अन्य अनुप्रयोगों के साथ, रिंग 3 में चलते हैं।<ref name="McAfee2"/>एप्लिकेशन प्रोग्रामिंग इंटरफेस (एपीआई) के मानक व्यवहार को रोकने और संशोधित करने के लिए उनके पास कई संभावित इंस्टॉलेशन वैक्टर हैं। कुछ अन्य प्रक्रियाओं में [[गतिशील लिंकर]] लाइब्रेरी (जैसे विंडोज़ पर डायनेमिक-लिंक लाइब्रेरी .DLL फ़ाइल, या macOS पर .dylib फ़ाइल ) इंजेक्ट करते हैं, और इस प्रकार किसी भी लक्षित प्रक्रिया के अंदर इसे धोखा देने के लिए निष्पादित करने में सक्षम हैं; अन्य पर्याप्त विशेषाधिकारों के साथ लक्ष्य अनुप्रयोग की स्मृति को अधिलेखित कर देते हैं इनमें इंजेक्शन तंत्र में सम्मलित हैं:<ref name="McAfee2"/>  
[[File:CPU ring scheme.svg|thumb|right|कंप्यूटर सुरक्षा [[रिंग (कंप्यूटर सुरक्षा)]] (ध्यान दें कि हाइपरविजर|रिंग -1 नहीं दिखाया गया है)]]उपयोक्ता-मोड रूटकिट रिंग में चलते हैं, अन्य अनुप्रयोगों के साथ-साथ निम्न-स्तरीय सिस्टम प्रक्रियाओं के अतिरिक्त उपयोगकर्ता के रूप में अन्य अनुप्रयोगों के साथ, रिंग 3 में चलते हैं।<ref name="McAfee2"/>एप्लिकेशन प्रोग्रामिंग इंटरफेस (एपीआई) के मानक व्यवहार को रोकने और संशोधित करने के लिए उनके पास कई संभावित इंस्टॉलेशन वैक्टर हैं। कुछ अन्य प्रक्रियाओं में [[गतिशील लिंकर]] लाइब्रेरी (जैसे विंडोज़ पर डायनेमिक-लिंक लाइब्रेरी .DLL फ़ाइल, या macOS पर .dylib फ़ाइल ) इंजेक्ट करते हैं, और इस प्रकार किसी भी लक्षित प्रक्रिया के अंदर इसे धोखा देने के लिए निष्पादित करने में सक्षम हैं; अन्य पर्याप्त विशेषाधिकारों के साथ लक्ष्य अनुप्रयोग की स्मृति को अधिलेखित कर देते हैं इनमें इंजेक्शन तंत्र में सम्मलित हैं:<ref name="McAfee2"/>  
Line 198: Line 198:
* डिबगर्स।
* डिबगर्स।
* भेद्यता का शोषण ।
* भेद्यता का शोषण ।
* {{quote|text=... चूंकि उपयोगकर्ता मोड एप्लिकेशन सभी अपने स्वयं के मेमोरी स्पेस में चलते हैं, रूटकिट को प्रत्येक चल रहे एप्लिकेशन के मेमोरी स्पेस में इस पैचिंग को करने की आवश्यकता होती है। इसके अलावा, रूटकिट को किसी भी नए एप्लिकेशन के लिए सिस्टम की निगरानी करने की आवश्यकता होती है जो पूरी तरह से निष्पादित होने से पहले उन प्रोग्रामों की मेमोरी स्पेस को निष्पादित और पैच करता है।|sign=विंडोज रूटकिट अवलोकन|source=Symantec<ref name="Symantec"/>}}सामान्यतः उपयोग किए जाने वाले एपीआई के फंक्शन हुकिंग या पैचिंग, उदाहरण के लिए, एक फाइल सिस्टम पर चलने वाली प्रक्रिया या फाइल को छिपाने के लिए।<ref>{{cite journal
* {{quote|text=... चूंकि उपयोगकर्ता मोड एप्लिकेशन सभी अपने स्वयं के मेमोरी स्पेस में चलते हैं, रूटकिट को प्रत्येक चल रहे एप्लिकेशन के मेमोरी स्पेस में इस पैचिंग को करने की आवश्यकता होती है। इसके अलावा, रूटकिट को किसी भी नए एप्लिकेशन के लिए सिस्टम की निगरानी करने की आवश्यकता होती है जो पूरी तरह से निष्पादित होने से पहले उन प्रोग्रामों की मेमोरी स्पेस को निष्पादित और पैच करता है।|sign=विंडोज रूटकिट अवलोकन|source=Symantec<ref name="Symantec"/>}}सामान्यतः उपयोग किए जाने वाले एपीआई के फंक्शन हुकिंग या पैचिंग, उदाहरण के लिए, फाइल सिस्टम पर चलने वाली प्रक्रिया या फाइल को छिपाने के लिए।<ref>{{cite journal
  | journal=[[Phrack]]
  | journal=[[Phrack]]
  | url=http://www.phrack.org/issues.html?issue=62&id=12
  | url=http://www.phrack.org/issues.html?issue=62&id=12
Line 206: Line 206:
}}</ref>
}}</ref>
=== कर्नेल मोड ===
=== कर्नेल मोड ===
कर्नेल-मोड रूटकिट उच्चतम ऑपरेटिंग सिस्टम विशेषाधिकारों (रिंग) के साथ कोड जोड़कर या कर्नेल (कंप्यूटर विज्ञान) और संबंधित डिवाइस ड्राइवर दोनों सहित कोर ऑपरेटिंग सिस्टम के भागों को बदलकर चलते हैं।{{citation needed|date=July 2021}} अधिकांश ऑपरेटिंग सिस्टम कर्नेल-मोड डिवाइस ड्राइवरों का समर्थन करते हैं, जो ऑपरेटिंग सिस्टम के समान विशेषाधिकारों के साथ निष्पादित होते हैं। जैसे, कई कर्नेल-मोड रूटकिट डिवाइस ड्राइवर या लोड करने योग्य मॉड्यूल के रूप में विकसित किए जाते हैं, जैसे [[लिनक्स]] में [[मॉड्यूल (लिनक्स)]] या [[माइक्रोसॉफ़्ट विंडोज़]] में डिवाइस ड्राइवर। रूटकिट के इस वर्ग के पास अप्रतिबंधित सुरक्षा पहुंच है, परंतु लिखना अधिक कठिन है।<ref name="UAMT"/>जटिलता बग को सामान्य बनाती है, और कर्नेल स्तर पर संचालन करने वाले कोड में कोई भी बग सिस्टम स्थिरता को गंभीर रूप से प्रभावित कर सकता है, जिससे रूटकिट की खोज हो सकती है।<ref name="UAMT"/>पहले व्यापक रूप से ज्ञात कर्नेल रूटकिट्स में से एक को विंडोज एनटी 4.0 के लिए विकसित किया गया था