रूटकिट: Difference between revisions

Revision as of 23:52, 24 December 2022

रूटकिट सॉफ्टवेयर का एक संग्रह है, जो सामान्यतः दुर्भावनापूर्ण होता है, जिसे कंप्यूटर या इसके सॉफ़्टवेयर के एक क्षेत्र तक पहुंच को सक्षम करने के लिए डिज़ाइन किया गया है, जिसे अन्यथा अनुमति नहीं है (उदाहरण के लिए, एक अनधिकृत उपयोगकर्ता के लिए) और अधिकांशतः इसके अस्तित्व या अन्य सॉफ़्टवेयर के अस्तित्व को छुपाता है।^[1]रूटकिट शब्द एक यौगिक (भाषाविज्ञान) है सुपर उपयोगकर्ता (यूनिक्स-जैसे ऑपरेटिंग सिस्टम पर विशेषाधिकार प्राप्त खाते का पारंपरिक नाम) और शब्द किट (जो उपकरण को लागू करने वाले सॉफ़्टवेयर घटकों को संदर्भित करता है)।^[2] रूटकिट शब्द का मैलवेयर के साथ जुड़ाव के कारण नकारात्मक अर्थ है।^[1]

रूटकिट इंस्टॉलेशन को स्वचालित किया जा सकता है, या एक हैकर (कंप्यूटर सुरक्षा) रूट या एडमिनिस्ट्रेटर एक्सेस प्राप्त करने के बाद इसे इंस्टॉल कर सकता है।^[3] इस पहुंच को प्राप्त करना एक प्रणाली पर सीधे हमले का परिणाम है, अर्थात भेद्यता (जैसे विशेषाधिकार वृद्धि) या पासवर्ड (पासवर्ड क्रैकिंग या सोशल इंजीनियरिंग (सुरक्षा) रणनीति जैसे फ़िशिंग द्वारा प्राप्त) का शोषण करना। एक बार इंस्टॉल हो जाने पर, घुसपैठ को छुपाना और साथ ही विशेषाधिकार प्राप्त पहुंच को बनाए रखना संभव हो जाता है। किसी सिस्टम पर पूर्ण नियंत्रण का अर्थ है कि मौजूदा सॉफ़्टवेयर को संशोधित किया जा सकता है, जिसमें सॉफ़्टवेयर भी सम्मलित है जो अन्यथा इसका पता लगाने या इसे रोकने के लिए उपयोग किया जा सकता है।

रूटकिट का पता लगाना मुश्किल है क्योंकि एक रूटकिट उस सॉफ़्टवेयर को नष्ट करने में सक्षम हो सकता है जो इसे खोजने का इरादा रखता है। पता लगाने के तरीकों में एक वैकल्पिक और विश्वसनीय ऑपरेटिंग सिस्टम, व्यवहार-आधारित विधि, हस्ताक्षर स्कैनिंग, अंतर स्कैनिंग और कोर निपात विश्लेषण का उपयोग करना सम्मलित है। हटाना जटिल या व्यावहारिक रूप से असंभव हो सकता है, खासकर उन स्थितियों में जहां रूटकिट कर्नेल (ऑपरेटिंग सिस्टम) में रहता है; ऑपरेटिंग सिस्टम की पुनर्स्थापना समस्या का एकमात्र उपलब्ध समाधान हो सकता है। फर्मवेयर रूटकिट के साथ काम करते समय, हटाने के लिए संगणक धातु सामग्री प्रतिस्थापन या विशेष उपकरण की आवश्यकता हो सकती है।

इतिहास

शब्द रूटकिट या रूट किट मूल रूप से एक यूनिक्स जैसे ऑपरेटिंग सिस्टम के लिए प्रशासनिक उपकरणों के दुर्भावनापूर्ण रूप से संशोधित सेट को संदर्भित करता है जो सुपरयूजर एक्सेस प्रदान करता है।^[4] यदि एक घुसपैठिया एक रूटकिट के साथ एक सिस्टम पर मानक प्रशासनिक उपकरण को बदल सकता है, तो घुसपैठिया वैध सिस्टम प्रशासक से इन गतिविधियों को छुपाते हुए सिस्टम पर रूट एक्सेस प्राप्त कर सकता है। ये पहली पीढ़ी के रूटकिट ओपन सोर्स ट्रिपवायर जैसे उपकरणों का उपयोग करके पता लगाने के लिए तुच्छ थे, जिन्हें समान जानकारी तक पहुंचने के लिए समझौता नहीं किया गया था।Cite error: Closing </ref> missing for <ref> tag 1983 में ट्यूरिंग पुरस्कार प्राप्त करने पर दिए गए व्याख्यान में, बेल लैब्स के केन थॉम्पसन, यूनिक्स के रचनाकारों में से एक, ने यूनिक्स वितरण में सी संकलक को नष्ट करने के बारे में सिद्धांत दिया और शोषण पर चर्चा की। संशोधित संकलक यूनिक्स को संकलित करने के प्रयासों का पता लगाएगा login आदेश दें और परिवर्तित कोड उत्पन्न करें जो न मात्र उपयोगकर्ता के सही पासवर्ड को स्वीकार करेगा, बल्कि हमलावर को ज्ञात एक अतिरिक्त पिछले दरवाजे (कंप्यूटिंग) पासवर्ड भी होगा। इसके अतिरिक्त, कंपाइलर कंपाइलर के एक नए संस्करण को संकलित करने के प्रयासों का पता लगाएगा, और उसी कारनामे को नए कंपाइलर में सम्मिलित करेगा। के लिए स्रोत कोड की समीक्षा login कमांड या अपडेटेड कंपाइलर किसी भी दुर्भावनापूर्ण कोड को प्रकट नहीं करेगा।^[5] यह कारनामा एक रूटकिट के बराबर था।

व्यक्तिगत कंप्यूटर को लक्षित करने वाला पहला प्रलेखित कंप्यूटर वायरस, जिसे 1986 में खोजा गया था, ने स्वयं को छिपाने के लिए क्लोकिंग तकनीकों का उपयोग किया: ब्रेन (कंप्यूटर वायरस) ने प्रारंभिक क्षेत्र को पढ़ने के प्रयासों को रोका, और इन्हें डिस्क पर कहीं और पुनर्निर्देशित किया, जहां इसकी एक प्रति थी। मूल बूट सेक्टर रखा गया था।^[1] समय के साथ, डॉस-वायरस क्लोकिंग विधियां अधिक परिष्कृत हो गईं। उन्नत तकनीकों में फाइलों में अनधिकृत संशोधनों को छिपाने के लिए लो-लेवल डिस्क INT 13H BIOS रुकावट डालना कॉल को हुक करना सम्मलित है।^[1]

विंडोज एनटी ऑपरेटिंग सिस्टम के लिए पहला दुर्भावनापूर्ण रूटकिट 1999 में दिखाई दिया: एनटीआरओटकिट नामक एक ट्रोजन जिसे ग्रेग होगलंड द्वारा बनाया गया था।^[6]इसके बाद 2003 में हैकर डिफेंडर द्वारा किया गया।^[1]पहला रूटकिट लक्ष्यीकरण macOS 2009 में सामने आया,^[7] जबकि स्टक्सनेट वर्म निर्देशयोग्य तर्क नियंत्रक्स (पीएलसी) को लक्षित करने वाला पहला था।^[8]

सोनी बीएमजी कॉपी प्रोटेक्शन रूटकिट स्कैंडल

File:RootkitRevealer.png

रूटकिट रिवीलर का स्क्रीनशॉट, विस्तारित कॉपी सुरक्षा रूटकिट द्वारा छिपी हुई फाइलों को दिखा रहा है

2005 में, Sony BMG ने कॉपी सुरक्षा और डिजिटल अधिकार प्रबंधन सॉफ़्टवेयर के साथ कॉम्पैक्ट डिस्क प्रकाशित की, जिसे विस्तारित कॉपी सुरक्षा कहा जाता है, जिसे सॉफ़्टवेयर कंपनी फ़र्स्ट 4 इंटरनेट द्वारा बनाया गया है। सॉफ्टवेयर में एक म्यूजिक प्लेयर सम्मलित था परंतु चुपचाप एक रूटकिट स्थापित किया गया था जो सीडी तक पहुंचने के लिए उपयोगकर्ता की क्षमता को सीमित करता था।^[9] सॉफ्टवेयर इंजीनियर मार्क रोसिनोविच, जिन्होंने रूटकिट डिटेक्शन टूल रूटकिटरिवेलर बनाया था, ने अपने एक कंप्यूटर पर रूटकिट की खोज की।^[1]आगामी घोटाले ने रूटकिट्स के बारे में जनता की जागरूकता बढ़ा दी।^[10] स्वयं को छिपाने के लिए, रूटकिट उपयोगकर्ता को $sys$ से शुरू होने वाली किसी भी फ़ाइल से छुपाता है। रोसिनोविच की रिपोर्ट के तुरंत बाद, मैलवेयर सामने आया जिसने प्रभावित सिस्टम की भेद्यता का लाभ उठाया।^[1]बीबीसी के एक विश्लेषक ने इसे जनसंपर्क दुःस्वप्न कहा।^[11] सोनी बीएमजी ने रूटकिट को अनइंस्टॉलर करने के लिए पैच (कंप्यूटिंग) जारी किया, परंतु इसने उपयोगकर्ताओं को और भी गंभीर भेद्यता के लिए उजागर किया।^[12] कंपनी ने अंततः सीडी को वापस बुला लिया। संयुक्त राज्य अमेरिका में, सोनी बीएमजी के खिलाफ एक वर्ग कार्रवाई | क्लास-एक्शन मुकदमा लाया गया था।^[13]

ग्रीक वायरटैपिंग मामला 2004–05

ग्रीक वायरटैपिंग मामला 2004–05, जिसे ग्रीक वाटरगेट भी कहा जाता है,^[14] वोडाफोन यूनान नेटवर्क पर 100 से अधिक चल दूरभाषों की अवैध टेलीफोन टैपिंग सम्मलित थी, जो ज्यादातर ग्रीस सरकार के सदस्यों और शीर्ष-श्रेणी के सिविल सेवकों के थे। नल अगस्त 2004 की शुरुआत के पास शुरू हुए और अपराधियों की पहचान का पता लगाए बिना मार्च 2005 में हटा दिए गए। घुसपैठियों ने एरिक्सन के एक्स टेलीफोन एक्सचेंज को निशाना बनाते हुए एक रूटकिट स्थापित किया। IEEE स्पेक्ट्रम के अनुसार, यह पहली बार था जब किसी विशेष प्रयोजन प्रणाली पर रूटकिट देखा गया था, इस मामले में एरिक्सन टेलीफोन स्विच।^[15] रूटकिट को एक्सचेंज की मेमोरी को पैच करने के लिए डिज़ाइन किया गया था जब यह चल रहा था, ऑडिट लॉग को अक्षम करते हुए वायरटैपिंग को सक्षम करें, सक्रिय प्रक्रियाओं और सक्रिय डेटा ब्लॉक को सूचीबद्ध करने वाले कमांड को पैच करें और डेटा ब्लॉक अंततः, सत्यापन कमांड को संशोधित करें। एक बैकडोर ने एक ऑपरेटर को sysadmin स्थिति के साथ एक्सचेंज के लेनदेन लॉग, अलार्म और निगरानी क्षमता से संबंधित एक्सेस कमांड को निष्क्रिय करने की अनुमति दी।^[15]घुसपैठियों द्वारा एक दोषपूर्ण अद्यतन स्थापित करने के बाद रूटकिट की खोज की गई, जिसके कारण एसएमएस पाठ वितरित नहीं हो पाए, जिससे एक स्वचालित विफलता रिपोर्ट उत्पन्न हुई। एरिक्सन इंजीनियरों को गलती की जांच करने के लिए बुलाया गया और रूटकिट और अवैध निगरानी सॉफ्टवेयर के साथ निगरानी किए जा रहे फोन नंबरों की सूची वाले छिपे हुए डेटा ब्लॉक की खोज की।

उपयोग करता है

आधुनिक रूटकिट पहुँच को उन्नत नहीं करते हैं,^[4]बल्कि चुपके क्षमताओं को जोड़कर एक और सॉफ़्टवेयर पेलोड को ज्ञानी बनाने के लिए उपयोग किया जाता है।^[6] अधिकांश रूटकिट को मालवेयर के रूप में वर्गीकृत किया जाता है, क्योंकि जिन पेलोड के साथ उन्हें बंडल किया जाता है वे दुर्भावनापूर्ण होते हैं। उदाहरण के लिए, एक पेलोड उपयोगकर्ता के पासवर्ड, क्रेडिट कार्ड की जानकारी, कंप्यूटिंग संसाधनों को गुप्त रूप से चुरा सकता है या अन्य अनधिकृत गतिविधियों का संचालन कर सकता है। रूटकिट की एक छोटी संख्या उनके उपयोगकर्ताओं द्वारा उपयोगिता अनुप्रयोगों के रूप में मानी जा सकती है: उदाहरण के लिए, एक रूटकिट सीडी रॉम-इम्यूलेशन ड्राइवर को क्लोक कर सकता है, जिससे वीडियो गेम उपयोगकर्ताओं को प्रतिलिपि सुरक्षा को हराने की अनुमति मिलती है#एंटी-पाइरेसी|एंटी-पाइरेसी उपाय जिनमें प्रविष्टि की आवश्यकता होती है मूल स्थापना मीडिया को भौतिक ऑप्टिकल ड्राइव में यह सत्यापित करने के लिए कि सॉफ़्टवेयर वैध रूप से खरीदा गया था।

रूटकिट्स और उनके पेलोड के कई उपयोग हैं:

एक हमलावर को पिछले दरवाजे (कंप्यूटिंग) के माध्यम से पूर्ण पहुंच प्रदान करें, अनधिकृत पहुंच की अनुमति दें, उदाहरण के लिए, दस्तावेज़ों को चुराना या गलत करना। इसे पूरा करने के तरीकों में से एक लॉगिन तंत्र को हटाना है, जैसे कि यूनिक्स जैसी प्रणालियों पर / बिन / लॉगिन प्रोग्राम या विंडोज़ पर ग्राफिकल पहचान और प्रमाणीकरण। प्रतिस्थापन सामान्य रूप से कार्य करता प्रतीत होता है, परंतु एक गुप्त लॉगिन संयोजन को भी स्वीकार करता है जो एक हमलावर को मानक प्रमाणीकरण और प्राधिकरण तंत्र को दरकिनार करते हुए प्रशासनिक विशेषाधिकारों के साथ सिस्टम तक सीधी पहुंच की अनुमति देता है।
अन्य मैलवेयर छुपाएं, विशेष रूप से पासवर्ड-चोरी करने वाले कीस्ट्रोक लॉगिंग और कंप्यूटर वायरस।^[16]
अन्य कंप्यूटरों पर हमलों के लिए समझौता मशीन को एक ज़ोंबी कंप्यूटर के रूप में उपयुक्त करें। (हमला हमलावर के सिस्टम के अतिरिक्त समझौता किए गए सिस्टम या नेटवर्क से उत्पन्न होता है।) ज़ोंबी कंप्यूटर सामान्यतः बड़े botnet के सदस्य होते हैं जो अन्य चीजों के साथ-डिनायल-ऑफ-सर्विस हमलों को लॉन्च कर सकते हैं, ईमेल स्पैम (इलेक्ट्रॉनिक) वितरित कर सकते हैं। और क्लिक धोखाधड़ी करें।^[17]

कुछ उदाहरणों में, रूटकिट वांछित कार्यक्षमता प्रदान करता है, और कंप्यूटर उपयोगकर्ता की ओर से जानबूझकर स्थापित किया जा सकता है:

हमलों का पता लगाएं, उदाहरण के लिए, हनीपोट (कंप्यूटिंग) में।^[18]
एमुलेशन सॉफ्टवेयर और सुरक्षा सॉफ्टवेयर को बेहतर बनाएं।^[19] एल्कोहल 120% और डेमोन टूल्स गैर-विरोधी रूटकिट के व्यावसायिक उदाहरण हैं जिनका उपयोग SafeDisc और SecuROM जैसे कॉपी-प्रोटेक्शन मैकेनिज्म को हराने के लिए किया जाता है।^[20] Kaspersky एंटी-वायरस स्वयं को दुर्भावनापूर्ण कार्यों से बचाने के लिए रूटकिट जैसी तकनीकों का भी उपयोग करता है। यह सिस्टम गतिविधि को बाधित करने के लिए अपने स्वयं के डिवाइस ड्राइवर को लोड करता है, और फिर अन्य प्रक्रियाओं को स्वयं को नुकसान पहुँचाने से रोकता है। इसकी प्रक्रियाएँ छिपी नहीं हैं, परंतु मानक विधियों द्वारा समाप्त नहीं की जा सकती हैं।
एंटी-थेफ्ट प्रोटेक्शन: लैपटॉप में BIOS-आधारित रूटकिट सॉफ्टवेयर हो सकता है जो समय-समय पर एक केंद्रीय प्राधिकरण को रिपोर्ट करेगा, जिससे लैपटॉप की निगरानी की जा सकेगी, चोरी होने की स्थिति में सूचना को अक्षम या मिटा दिया जा सकेगा।^[21]
Microsoft उत्पाद सक्रियण को दरकिनार करना^[22]

प्रकार

कम से कम 69 प्रकार के रूटकिट हैं, फ़र्मवेयर में निम्नतम स्तर (उच्चतम विशेषाधिकारों के साथ) से लेकर कर्नेल (कंप्यूटर विज्ञान) में संचालित होने वाले कम से कम विशेषाधिकार प्राप्त उपयोगकर्ता-आधारित वेरिएंट तक। इनमें से हाइब्रिड संयोजन फैले हुए हो सकते हैं, उदाहरण के लिए, उपयोगकर्ता मोड और कर्नेल मोड।^[23]

उपयोगकर्ता मोड

रिंग -1 नहीं दिखाया गया है)

उपयोक्ता-मोड रूटकिट रिंग (कंप्यूटर सुरक्षा) में चलते हैं, अन्य अनुप्रयोगों के साथ-साथ निम्न-स्तरीय सिस्टम प्रक्रियाओं के अतिरिक्त उपयोगकर्ता के रूप में।^[24]एप्लिकेशन प्रोग्रामिंग इंटरफेस (एपीआई) के मानक व्यवहार को रोकने और संशोधित करने के लिए उनके पास कई संभावित इंस्टॉलेशन वैक्टर हैं। कुछ अन्य प्रक्रियाओं में गतिशील लिंकर लाइब्रेरी (जैसे डायनेमिक-लिंक लाइब्रेरी|.DLL फ़ाइल विंडोज़ पर, या .dylib फ़ाइल macOS पर) इंजेक्ट करते हैं, और इस तरह इसे स्पूफ करने के लिए किसी भी लक्ष्य प्रक्रिया के अंदर निष्पादित करने में सक्षम होते हैं; अन्य पर्याप्त विशेषाधिकारों के साथ लक्ष्य अनुप्रयोग की स्मृति को अधिलेखित कर देते हैं। इंजेक्शन तंत्र में सम्मलित हैं:^[24]*विक्रेता द्वारा आपूर्ति किए गए एप्लिकेशन एक्सटेंशन का उपयोग। उदाहरण के लिए, विंडोज़ एक्सप्लोरर में सार्वजनिक इंटरफेस हैं जो तीसरे पक्ष को इसकी कार्यक्षमता बढ़ाने की अनुमति देते हैं।

संदेश पारित करने का अवरोधन।
डिबगर्स।
भेद्यता का शोषण (कंप्यूटिंग)।
सामान्यतः उपयोग किए जाने वाले एपीआई के फंक्शन हुकिंग या पैचिंग, उदाहरण के लिए, एक फाइल सिस्टम पर चलने वाली प्रक्रिया या फाइल को छिपाने के लिए।^[25]

...since user mode applications all run in their own memory space, the rootkit needs to perform this patching in the memory space of every running application. In addition, the rootkit needs to monitor the system for any new applications that execute and patch those programs' memory space before they fully execute.
— Windows Rootkit Overview, Symantec^[4]

कर्नेल मोड

कर्नेल-मोड रूटकिट उच्चतम ऑपरेटिंग सिस्टम विशेषाधिकारों (रिंग (कंप्यूटर सुरक्षा)) के साथ कोड जोड़कर या कर्नेल (कंप्यूटर विज्ञान) और संबंधित डिवाइस ड्राइवर दोनों सहित कोर ऑपरेटिंग सिस्टम के भागों को बदलकर चलते हैं।^{[citation needed]} अधिकांश ऑपरेटिंग सिस्टम कर्नेल-मोड डिवाइस ड्राइवरों का समर्थन करते हैं, जो ऑपरेटिंग सिस्टम के समान विशेषाधिकारों के साथ निष्पादित होते हैं। जैसे, कई कर्नेल-मोड रूटकिट डिवाइस ड्राइवर या लोड करने योग्य मॉड्यूल के रूप में विकसित किए जाते हैं, जैसे लिनक्स में मॉड्यूल (लिनक्स) या माइक्रोसॉफ़्ट विंडोज़ में डिवाइस ड्राइवर। रूटकिट के इस वर्ग के पास अप्रतिबंधित सुरक्षा पहुंच है, परंतु लिखना अधिक कठिन है।^[26]जटिलता बग को सामान्य बनाती है, और कर्नेल स्तर पर संचालन करने वाले कोड में कोई भी बग सिस्टम स्थिरता को गंभीर रूप से प्रभावित कर सकता है, जिससे रूटकिट की खोज हो सकती है।^[26]पहले व्यापक रूप से ज्ञात कर्नेल रूटकिट्स में से एक को विंडोज एनटी 4.0 के लिए विकसित किया गया था और 1999 में ग्रेग होगलंड द्वारा फ्रैक पत्रिका में जारी किया गया था।^[27]^[28] कर्नेल रूटकिट्स का पता लगाना और हटाना विशेष रूप से कठिन हो सकता है क्योंकि वे उसी रिंग (कंप्यूटर सुरक्षा) पर ऑपरेटिंग सिस्टम के रूप में काम करते हैं, और इस प्रकार सबसे भरोसेमंद ऑपरेटिंग सिस्टम संचालन को बाधित या उलटने में सक्षम होते हैं। कोई भी सॉफ़्टवेयर, जैसे एंटीवायरस सॉफ्टवेयर, समझौता किए गए सिस्टम पर चल रहा है, समान रूप से असुरक्षित है।^[29] ऐसी स्थिति में व्यवस्था के किसी भी अंग पर विश्वास नहीं किया जा सकता।

एक रूटकिट डायरेक्ट कर्नेल ऑब्जेक्ट मैनिपुलेशन (डीकेओएम) नामक विधि का उपयोग करके विंडोज कर्नेल में डेटा संरचनाओं को संशोधित कर सकता है।^[30] इस विधि का उपयोग प्रक्रियाओं को छिपाने के लिए किया जा सकता है। कर्नेल मोड रूटकिट सिस्टम सर्विस डिस्क्रिप्टर टेबल (एसएसडीटी) को भी हुक कर सकता है, या स्वयं को छिपाने के लिए उपयोगकर्ता मोड और कर्नेल मोड के बीच गेट्स को संशोधित कर सकता है।^[4]इसी प्रकार लिनक्स ऑपरेटिंग सिस्टम के लिए, रूटकिट कर्नेल कार्यक्षमता को हटाने के लिए सिस्टम कॉल टेबल को संशोधित कर सकता है।^[31]^[32] यह सामान्य है कि एक रूटकिट एक छिपी हुई, एन्क्रिप्टेड फाइल सिस्टम बनाता है जिसमें यह अन्य मैलवेयर या संक्रमित फाइलों की मूल प्रतियों को छुपा सकता है।^[33] ऑपरेटिंग सिस्टम कर्नेल-मोड रूटकिट्स के खतरे का मुकाबला करने के लिए विकसित हो रहे हैं। उदाहरण के लिए, माइक्रोसॉफ्ट विंडोज के 64-बिट संस्करण अब सभी कर्नेल-स्तरीय ड्राइवरों के अनिवार्य हस्ताक्षर को लागू करते हैं जिससे अविश्वसनीय कोड को सिस्टम में उच्चतम विशेषाधिकारों के साथ निष्पादित करना अधिक कठिन हो सके।^[34]

बूटकिट्स

कर्नेल-मोड रूटकिट वेरिएंट जिसे बूटकिट कहा जाता है, मास्टर बूट दस्तावेज़ (एमबीआर), वॉल्यूम बूट रिकॉर्ड (वीबीआर), या बूट सेक्टर जैसे स्टार्टअप कोड को संक्रमित कर सकता है, और इस तरह पूर्ण डिस्क एन्क्रिप्शन सिस्टम पर हमला करने के लिए प्रयुक्त किया जा सकता है।^[35] डिस्क एन्क्रिप्शन पर इस तरह के हमले का एक उदाहरण दुष्ट नौकरानी का हमला है, जिसमें एक हमलावर एक उपेक्षित कंप्यूटर पर बूटकिट स्थापित करता है। परिकल्पित परिदृश्य होटल के उस कमरे में घुसने वाली एक नौकरानी है जहाँ पीड़ितों ने अपना हार्डवेयर छोड़ा था।^[36] बूटकिट उनके नियंत्रण में वैध बूटिंग को बदल देता है। सामान्यतः मैलवेयर लोडर सुरक्षित मोड में संक्रमण के माध्यम से बना रहता है जब कर्नेल लोड हो जाता है, और इस प्रकार कर्नेल को नष्ट करने में सक्षम होता है।^[37]^[38]^[39] उदाहरण के लिए, स्टोन्ड बूटकिट एन्क्रिप्शन कुंजी और पासवर्ड को इंटरसेप्ट करने के लिए एक समझौता बूटिंग का उपयोग करके सिस्टम को उलट देता है।^[40]^{[self-published source?]} 2010 में, एल्यूरॉन रूटकिट ने मास्टर बूट दस्तावेज़ को संशोधित करके विंडोज 7 में 64-बिट कर्नेल-मोड ड्राइवर साइन इन करने की आवश्यकता को सफलतापूर्वक हटा दिया है।^[41] यद्यपि उपयोगकर्ता कुछ ऐसा करने के अर्थ में मैलवेयर नहीं है जो उपयोगकर्ता नहीं चाहता है, कुछ विस्टा लोडर या विंडोज लोडर सॉफ़्टवेयर रैम-कैश संस्करण में एक उन्नत कॉन्फ़िगरेशन और पावर इंटरफेस एसएलआईसी (सिस्टम लाइसेंस प्राप्त आंतरिक कोड) तालिका को इंजेक्ट करके समान विधि से काम करते हैं। Microsoft उत्पाद सक्रियण को विफल करने के लिए बूट के दौरान BIOS का।^{[citation needed]} हमले के इस वेक्टर को विंडोज 8 के (गैर-सर्वर) संस्करणों में बेकार कर दिया गया था, जो प्रत्येक सिस्टम के लिए एक अद्वितीय, मशीन-विशिष्ट कुंजी का उपयोग करते हैं, जिसका उपयोग मात्र उस एक मशीन द्वारा किया जा सकता है।^[42] कई एंटीवायरस कंपनियां बूटकिट्स को हटाने के लिए मुफ्त उपयोगिताओं और प्रोग्राम प्रदान करती हैं।

सूत्र स्तर

अवधारणा के प्रमाण के रूप में शिक्षा जगत में रूटकिट्स को टाइप II हाइपरविजर के रूप में बनाया गया है। इंटेल वी.टी या एएमडी-वी जैसे हार्डवेयर वर्चुअलाइजेशन सुविधाओं का दोहन करके, इस प्रकार का रूटकिट रिंग -1 में चलता है और लक्ष्य ऑपरेटिंग सिस्टम को एक आभासी मशीन के रूप में होस्ट करता है, जिससे रूटकिट को मूल ऑपरेटिंग सिस्टम द्वारा किए गए हार्डवेयर कॉल को इंटरसेप्ट करने में सक्षम बनाता है।^[43] सामान्य हाइपरविजर के विपरीत, उन्हें ऑपरेटिंग सिस्टम से पहले लोड नहीं करना पड़ता है, परंतु वर्चुअल मशीन में इसे बढ़ावा देने से पहले ऑपरेटिंग सिस्टम में लोड कर सकते हैं।^[43]एक हाइपरविजर रूटकिट को लक्ष्य को हटाने के लिए लक्ष्य के कर्नेल में कोई संशोधन नहीं करना पड़ता है; चूंकि, इसका मतलब यह नहीं है कि अतिथि ऑपरेटिंग सिस्टम द्वारा इसका पता नहीं लगाया जा सकता है। उदाहरण के लिए, केंद्रीय प्रसंस्करण इकाई के निर्देशों में समय के अंतर का पता लगाया जा सकता है।^[43]Microsoft और मिशिगन विश्वविद्यालय के शोधकर्ताओं द्वारा संयुक्त रूप से विकसित SubVirt प्रयोगशाला रूटकिट, वर्चुअल-मशीन-आधारित रूटकिट (VMBR) का एक अकादमिक उदाहरण है,^[44] जबकि ब्लू पिल (सॉफ्टवेयर) सॉफ्टवेयर दूसरा है। 2009 में, माइक्रोसॉफ्ट और उत्तरी कैरोलिना स्टेट यूनिवर्सिटी के शोधकर्ताओं ने हुकसेफ नामक एक हाइपरवाइजर-लेयर एंटी-रूटकिट का प्रदर्शन किया, जो कर्नेल-मोड रूटकिट्स के खिलाफ सामान्य सुरक्षा प्रदान करता है।^[45] विंडोज 10 ने डिवाइस गार्ड नामक एक नई सुविधा पेश की, जो रूटकिट-प्रकार के मैलवेयर के खिलाफ एक ऑपरेटिंग सिस्टम की स्वतंत्र बाहरी सुरक्षा प्रदान करने के लिए वर्चुअलाइजेशन का लाभ उठाती है।^[46]

फर्मवेयर और हार्डवेयर

एक फर्मवेयर रूटकिट डिवाइस या प्लेटफॉर्म फर्मवेयर का उपयोग हार्डवेयर में एक स्थायी मैलवेयर छवि बनाने के लिए करता है, जैसे राउटर (कंप्यूटिंग), नेटवर्क इंटरफ़ेस नियंत्रक,^[47] हार्ड डिस्क ड्राइव, या सिस्टम BIOS।^[24]^[48] रूटकिट फर्मवेयर में छुपा रहता है, क्योंकि कोड अखंडता के लिए फर्मवेयर का सामान्यतः निरीक्षण नहीं किया जाता है। जॉन हेसमैन ने उन्नत कॉन्फ़िगरेशन और पावर इंटरफ़ेस फ़र्मवेयर रूटीन दोनों में फ़र्मवेयर रूटकिट की व्यवहार्यता का प्रदर्शन किया^[49] और एक पारंपरिक पीसीआई विस्तार कार्ड में रीड रीड ऑनली मैमोरी^[50] अक्टूबर 2008 में, अपराधियों ने यूरोपीय क्रेडिट-कार्ड-रीडिंग मशीनों को स्थापित करने से पहले उनके साथ छेड़छाड़ की। उपकरणों ने मोबाइल फोन नेटवर्क के माध्यम से क्रेडिट कार्ड के विवरण को इंटरसेप्ट किया और प्रसारित किया।^[51] मार्च 2009 में, शोधकर्ताओं अल्फ्रेडो ओर्टेगा और अनिबल सैको ने एक BIOS-स्तरीय विंडोज रूटकिट का विवरण प्रकाशित किया जो डिस्क प्रतिस्थापन और ऑपरेटिंग सिस्टम री-इंस्टॉलेशन से बचने में सक्षम था।^[52]^[53]^[54] कुछ महीनों बाद उन्हें पता चला कि कुछ लैपटॉप एक वैध रूटकिट के साथ बेचे जाते हैं, जिसे लैपटॉप के लिए एब्सोल्यूट कंप्यूट्रेस या एब्सोल्यूट लोजैक के रूप में जाना जाता है, जो कई BIOS छवियों में पहले से इंस्टॉल होता है। यह एक एंटी-लैपटॉप चोरी प्रौद्योगिकी प्रणाली है जिसे शोधकर्ताओं ने दिखाया है कि इसे दुर्भावनापूर्ण उद्देश्यों में बदल दिया जा सकता है।^[21]

Intel सक्रिय प्रबंधन प्रौद्योगिकी, Intel vPro #Remote प्रबंधन का हिस्सा है, आउट-ऑफ़-बैंड प्रबंधन लागू करता है, प्रशासकों को दूरस्थ प्रशासन, दूरस्थ अवसंरचना प्रबंधन, और होस्ट प्रोसेसर या BIOS की भागीदारी के बिना पीसी के रिमोट डेस्कटॉप सॉफ्टवेयर देता है, तब भी जब सिस्टम बंद है। रिमोट प्रशासन में रिमोट पावर-अप और पावर-डाउन, रिमोट रीसेट, रीडायरेक्ट बूट, कंसोल रीडायरेक्शन, BIOS सेटिंग्स के लिए प्री-बूट एक्सेस, इनबाउंड और आउटबाउंड नेटवर्क ट्रैफिक के लिए प्रोग्राम करने योग्य फ़िल्टरिंग, एजेंट उपस्थिति जांच, आउट-ऑफ-बैंड नीति-आधारित सम्मलित हैं। अलर्टिंग, सिस्टम की जानकारी तक पहुंच, जैसे कि हार्डवेयर संपत्ति की जानकारी, लगातार इवेंट लॉग, और अन्य जानकारी जो समर्पित मेमोरी (हार्ड ड्राइव पर नहीं) में संग्रहीत होती है, जहां ओएस के डाउन होने या पीसी के बंद होने पर भी इसे एक्सेस किया जा सकता है। इनमें से कुछ कार्यों के लिए रूटकिट के गहनतम स्तर की आवश्यकता होती है, मुख्य कंप्यूटर के चारों ओर निर्मित एक दूसरा गैर-हटाने योग्य स्पाई कंप्यूटर। सैंडी ब्रिज और भविष्य के चिपसेट में 3जी के माध्यम से खोए या चोरी हुए पीसी को दूरस्थ रूप से खत्म करने और पुनर्स्थापित करने की क्षमता है। चिपसेट में निर्मित हार्डवेयर रूटकिट चोरी हुए कंप्यूटरों को पुनर्प्राप्त करने, डेटा को हटाने, या उन्हें बेकार करने में मदद कर सकते हैं, परंतु वे प्रबंधन या हैकर्स द्वारा नियंत्रण प्राप्त करने वाले गुप्त जासूसी और पुनर्निर्देशन की गोपनीयता और सुरक्षा चिंताओं को भी प्रस्तुत करते हैं।

स्थापना और क्लोकिंग

रूटकिट्स सिस्टम पर नियंत्रण हासिल करने के लिए कई तरह की तकनीकों का प्रयुक्त करते हैं; रूटकिट का प्रकार अटैक वेक्टर की पसंद को प्रभावित करता है। गुप्त विशेषाधिकार वृद्धि को प्राप्त करने के लिए सबसे आम तकनीक भेद्यता (कंप्यूटिंग) का लाभ उठाती है। एक अन्य दृष्टिकोण एक ट्रोजन हॉर्स (कंप्यूटिंग) का उपयोग करना है, एक कंप्यूटर उपयोगकर्ता को रूटकिट के इंस्टॉलेशन प्रोग्राम को सौम्य मानने के लिए धोखा देना है - इस मामले में, सोशल इंजीनियरिंग (सुरक्षा) एक उपयोगकर्ता को आश्वस्त करती है कि रूटकिट फायदेमंद है।^[26]यदि कम से कम विशेषाधिकार का सिद्धांत लागू नहीं किया जाता है, तो स्थापना कार्य आसान हो जाता है, क्योंकि रूटकिट को तब स्पष्ट रूप से उन्नत (व्यवस्थापक-स्तर) विशेषाधिकारों का अनुरोध नहीं करना पड़ता है। रूटकिट के अन्य वर्ग मात्र लक्ष्य प्रणाली तक भौतिक पहुंच वाले किसी व्यक्ति द्वारा स्थापित किए जा सकते हैं। कुछ रूटकिट जानबूझकर सिस्टम के मालिक या मालिक द्वारा अधिकृत किसी व्यक्ति द्वारा भी स्थापित किए जा सकते हैं, उदा। कर्मचारी निगरानी के प्रयोजन के लिए, ऐसी विध्वंसक तकनीकों को अनावश्यक रूप से प्रतिपादित करना।^[55] वितरण के लिए विशिष्ट पे-पर-इंस्टॉल (PPI) मुआवजा पद्धति के साथ कुछ दुर्भावनापूर्ण रूटकिट इंस्टॉलेशन व्यावसायिक रूप से संचालित होते हैं।^[56]^[57] एक बार इंस्टॉल हो जाने के बाद, रूटकिट निदान, स्कैनिंग और निगरानी के लिए उपयोग किए जाने वाले मानक ऑपरेटिंग सिस्टम कंप्यूटर सुरक्षा उपकरण और अप्लिकेशन प्रोग्रामिंग अंतरफलक (एपीआई) के विचलन या चोरी के माध्यम से मेजबान सिस्टम के अंतर्गत अपनी उपस्थिति को अस्पष्ट करने के लिए सक्रिय उपाय करता है।^[58] रूटकिट्स रिंग (कंप्यूटर सुरक्षा) के व्यवहार को अन्य प्रक्रियाओं में लोडिंग कोड, डिवाइस ड्राइवर की स्थापना या संशोधन, या लोड करने योग्य कर्नेल मॉड्यूल के माध्यम से संशोधित करके इसे प्राप्त करते हैं। अस्पष्टीकरण तकनीकों में सिस्टम-निगरानी तंत्र से चल रही प्रक्रियाओं को छुपाना और सिस्टम फ़ाइलों और अन्य कॉन्फ़िगरेशन डेटा को छुपाना सम्मलित है।^[59] किसी हमले के साक्ष्य को छिपाने के प्रयास में, रूटकिट के लिए ऑपरेटिंग सिस्टम की इवेंट लोगिंग क्षमता को अक्षम करना असामान्य नहीं है। रूटकिट्स, सिद्धांत रूप में, किसी भी ऑपरेटिंग सिस्टम की गतिविधियों को उलट सकते हैं।^[60]संपूर्ण रूटकिट को एक संपूर्ण अपराध के समान माना जा सकता है: ऐसा अपराध जिसे किसी को पता ही नहीं चलता है। रूटकिट्स सामान्यतः रिंग 0 (कर्नेल-मोड) में स्थापित करने के अतिरिक्त एंटीवायरस सॉफ़्टवेयर द्वारा पता लगाने और सफाई के खिलाफ अपने अस्तित्व को सुनिश्चित करने के लिए कई उपाय भी करते हैं, जहां उनके पास सिस्टम तक पूरी पहुंच होती है। इनमें बहुरूपी कोड सम्मलित हैं (बदलना जिससे उनके हस्ताक्षर का पता लगाना मुश्किल हो), चुपके तकनीक, पुनर्जनन, एंटी-मैलवेयर सॉफ़्टवेयर को अक्षम या बंद करना,^[61] और आभासी मशीनों पर स्थापित नहीं करना जहाँ शोधकर्ताओं के लिए उन्हें खोजना और उनका विश्लेषण करना आसान हो सकता है।

जांच

रूटकिट डिटेक्शन के साथ मूलभूत समस्या यह है कि यदि ऑपरेटिंग सिस्टम को विकृत कर दिया गया है, विशेष रूप से कर्नेल-स्तरीय रूटकिट द्वारा, तो इस पर स्वयं या इसके घटकों में अनधिकृत संशोधन खोजने के लिए भरोसा नहीं किया जा सकता है।^[60] चल रही प्रक्रियाओं की सूची, या निर्देशिका में फ़ाइलों की सूची का अनुरोध करने जैसी कार्रवाइयों पर अपेक्षा के अनुरूप व्यवहार करने के लिए भरोसा नहीं किया जा सकता है। दूसरे शब्दों में, रूटकिट डिटेक्टर जो संक्रमित सिस्टम पर चलते समय काम करते हैं, मात्र रूटकिट के खिलाफ प्रभावी होते हैं जिनके छलावरण में कुछ दोष होते हैं, या जो कर्नेल में डिटेक्शन सॉफ़्टवेयर की तुलना में कम उपयोगकर्ता-मोड विशेषाधिकारों के साथ चलते हैं।^[26] कंप्यूटर वायरस की तरह, रूटकिट का पता लगाना और हटाना इस संघर्ष के दोनों पक्षों के बीच एक सतत संघर्ष है।^[60]डिटेक्शन कई अलग-अलग दृष्टिकोण अपना सकता है, जिसमें वायरस सिग्नेचर (जैसे एंटीवायरस सॉफ़्टवेयर), इंटीग्रिटी चेकिंग (जैसे अंगुली का हस्ताक्षर), अंतर-आधारित डिटेक्शन (अपेक्षित बनाम वास्तविक परिणामों की तुलना), और व्यवहारिक डिटेक्शन (जैसे मॉनिटरिंग CPU उपयोग) सम्मलित हैं। या नेटवर्क ट्रैफ़िक)।

कर्नेल-मोड रूटकिट्स के लिए, पता लगाना काफी अधिक जटिल है, हुकिंग की तलाश के लिए सिस्टम कॉल टेबल की सावधानीपूर्वक जांच की आवश्यकता होती है जहां मैलवेयर सिस्टम व्यवहार को नष्ट कर सकता है,^[62] साथ ही छिपी हुई प्रक्रियाओं को इंगित करने वाले पैटर्न के लिए मेमोरी की फोरेंसिक स्कैनिंग। यूनिक्स रूटकिट डिटेक्शन प्रसाद में ज़ेप्पू सम्मलित हैं,^[63] chkrootkit, rkhunter और OSSEC। विंडोज के लिए, डिटेक्शन टूल में Microsoft Sysinternals RootkitRevealer सम्मलित है,^[64] अवास्ट सॉफ्टवेयर,^[65] सोफोस एंटी-रूटकिट,^[66] च-सुरक्षित,^[67] मूलांक,^[68] जीएमईआर,^[69] और विंडोज़स्कोप। कोई भी रूटकिट डिटेक्टर जो प्रभावी सिद्ध होता है, अंततः अपनी स्वयं की अप्रभावीता में योगदान देता है, क्योंकि मैलवेयर लेखक अच्छी तरह से उपयोग किए जाने वाले टूल द्वारा पता लगाने से बचने के लिए अपने कोड को अनुकूलित और परीक्षण करते हैं।^{[Notes 1]} संदिग्ध ऑपरेटिंग सिस्टम चालू नहीं होने पर भंडारण की जांच करके जांच सॉफ़्टवेयर द्वारा मान्यता प्राप्त रूटकिट को याद नहीं किया जा सकता है, क्योंकि रूटकिट सक्रिय नहीं है और संदिग्ध व्यवहार को दबा दिया गया है; रूटकिट ऑपरेशनल के साथ चलने वाला पारंपरिक एंटी-मैलवेयर सॉफ़्टवेयर विफल हो सकता है यदि रूटकिट स्वयं को प्रभावी ढंग से छुपाता है।

वैकल्पिक विश्वसनीय माध्यम

ऑपरेटिंग-सिस्टम-लेवल रूटकिट डिटेक्शन के लिए सबसे अच्छा और सबसे विश्वसनीय तरीका संक्रमण के संदेह वाले कंप्यूटर को बंद करना है, और फिर वैकल्पिक विश्वसनीय माध्यम (जैसे बचाव सीडी-रोम या यूएसबी फ्लैश ड्राइव) से बूट करके इसके कंप्यूटर डेटा भंडारण की जांच करना है। ).^[70] तकनीक प्रभावी है क्योंकि रूटकिट सक्रिय रूप से अपनी उपस्थिति को छुपा नहीं सकता है यदि यह नहीं चल रहा है।

व्यवहार-आधारित

रूटकिट का पता लगाने के लिए व्यवहार-आधारित दृष्टिकोण रूटकिट-जैसे व्यवहार की तलाश करके रूटकिट की उपस्थिति का अनुमान लगाने का प्रयास करता है। उदाहरण के लिए, एक प्रणाली की रूपरेखा (कंप्यूटर प्रोग्रामिंग) द्वारा, एपीआई कॉल के समय और आवृत्ति में अंतर या समग्र सीपीयू उपयोग में अंतर को रूटकिट के लिए जिम्मेदार ठहराया जा सकता है। विधि जटिल है और टाइप I और टाइप II त्रुटियों की एक उच्च घटना से बाधित है। दोषपूर्ण रूटकिट कभी-कभी एक सिस्टम में बहुत स्पष्ट परिवर्तन पेश कर सकते हैं: एक सुरक्षा अद्यतन के बाद इसके कोड में एक डिज़ाइन दोष उजागर होने के बाद एल्यूरॉन रूटकिट ने विंडोज सिस्टम को क्रैश कर दिया।^[71]^[72] एक पैकेट विश्लेषक, फ़ायरवॉल (कंप्यूटिंग), या घुसपैठ की रोकथाम प्रणाली से लॉग एक नेटवर्क वातावरण में रूटकिट व्यवहार का प्रमाण प्रस्तुत कर सकते हैं।^[23]

हस्ताक्षर-आधारित

एंटीवायरस उत्पाद सार्वजनिक परीक्षणों में प्रायः ही कभी सभी वायरस पकड़ते हैं (इस पर निर्भर करता है कि किसका उपयोग किया जाता है और किस हद तक), भले ही सुरक्षा सॉफ़्टवेयर विक्रेता अपने उत्पादों में रूटकिट डिटेक्शन सम्मलित करते हैं। यदि कोई रूटकिट एंटीवायरस स्कैन के दौरान छिपाने का प्रयास करता है, तो एक स्टील्थ डिटेक्टर नोटिस कर सकता है; यदि रूटकिट सिस्टम से स्वयं को अस्थायी रूप से अनलोड करने का प्रयास करता है, तो सिग्नेचर डिटेक्शन (या फ़िंगरप्रिंटिंग) अभी भी इसे ढूंढ सकता है।^[73] यह संयुक्त दृष्टिकोण हमलावरों को काउंटरटैक तंत्र, या रेट्रो रूटीन लागू करने के लिए मजबूर करता है, जो एंटीवायरस प्रोग्राम को समाप्त करने का प्रयास करता है। हस्ताक्षर-आधारित पता लगाने के विधि अच्छी तरह से प्रकाशित रूटकिट के खिलाफ प्रभावी हो सकते हैं, परंतु विशेष रूप से तैयार किए गए, कस्टम-रूट रूटकिट के खिलाफ कम।^[60]

अंतर-आधारित

एक अन्य विधि जो रूटकिट का पता लगा सकती है, विश्वसनीय कच्चे डेटा की तुलना एपीआई द्वारा लौटाई गई दूषित सामग्री से करती है। उदाहरण के लिए, डिस्क पर मौजूद बायनेरिज़ की तुलना ऑपरेटिंग मेमोरी के अंतर्गत उनकी प्रतियों से की जा सकती है (कुछ ऑपरेटिंग सिस्टम में, इन-मेमोरी छवि ऑन-डिस्क छवि के समान होनी चाहिए), या फाइल सिस्टम या विंडोज रजिस्ट्री एपीआई से लौटाए गए परिणाम कर सकते हैं अंतर्निहित भौतिक डिस्क पर कच्ची संरचनाओं के विरुद्ध जाँच की जाए^[60]^[74]- चूंकि, पूर्व के मामले में, ऑपरेटिंग सिस्टम तंत्र जैसे मेमोरी रिलोकेशन या शिम (कम्प्यूटिंग) द्वारा कुछ वैध अंतर पेश किए जा सकते हैं। एक रूटकिट इस तरह के अंतर-आधारित स्कैनर या वर्चुअल मशीन की उपस्थिति का पता लगा सकता है (बाद में सामान्यतः फोरेंसिक विश्लेषण करने के लिए उपयोग किया जाता है), और इसके व्यवहार को समायोजित कर सकता है जिससे कोई अंतर पता न चल सके। सोनी डीआरएम रूटकिट को खोजने के लिए रसिनोविच के रूटकिट रीवेलर टूल द्वारा अंतर-आधारित पहचान का उपयोग किया गया था।^[1]

अखंडता जांच

Rhunter उपयोगिता SHA-1 हैश का उपयोग सिस्टम फ़ाइलों की अखंडता को सत्यापित करने के लिए करती है।

कोड हस्ताक्षर सार्वजनिक-कुंजी अवसंरचना का उपयोग यह जांचने के लिए करता है कि किसी फ़ाइल को उसके प्रकाशक द्वारा डिजिटल हस्ताक्षर होने के बाद से संशोधित किया गया है या नहीं। वैकल्पिक रूप से, सिस्टम स्वामी या व्यवस्थापक स्थापना के समय फ़िंगरप्रिंट की गणना करने के लिए क्रिप्टोग्राफ़िक हैश फ़ंक्शन का उपयोग कर सकता है जो ऑन-डिस्क कोड लाइब्रेरी में बाद में अनधिकृत परिवर्तनों का पता लगाने में मदद कर सकता है।^[75] चूंकि, अपरिष्कृत योजनाएँ मात्र यह जाँचती हैं कि क्या कोड को स्थापना के समय से संशोधित किया गया है; उस समय से पहले तोड़फोड़ पता लगाने योग्य नहीं है। हर बार सिस्टम में परिवर्तन किए जाने पर फ़िंगरप्रिंट को पुनः स्थापित किया जाना चाहिए: उदाहरण के लिए, सुरक्षा अद्यतन या सर्विस पैक स्थापित करने के बाद। हैश फ़ंक्शन एक संदेश डाइजेस्ट बनाता है, एक एल्गोरिदम का उपयोग करके फ़ाइल में प्रत्येक बिट से अपेक्षाकृत कम कोड की गणना की जाती है जो मूल फ़ाइल में छोटे बदलावों के साथ संदेश डाइजेस्ट में बड़े बदलाव बनाता है। संदेश डाइजेस्ट की एक विश्वसनीय सूची के विरुद्ध नियमित अंतराल पर स्थापित फ़ाइलों के संदेश डाइजेस्ट की पुनर्गणना और तुलना करके, सिस्टम में परिवर्तन का पता लगाया जा सकता है और निगरानी की जा सकती है - जब तक कि मैलवेयर जोड़े जाने से पहले मूल आधार रेखा बनाई गई थी।

अधिक परिष्कृत रूटकिट निरीक्षण के लिए फ़ाइल की एक असंशोधित प्रति प्रस्तुत करके, या मात्र मेमोरी, पुनर्संरचना रजिस्टरों में कोड संशोधन करके सत्यापन प्रक्रिया को उलटने में सक्षम हैं, जिनकी तुलना बाद में अपेक्षित मूल्यों की एक सफेद सूची से की जाती है।^[76] कोड जो हैश करता है, तुलना करता है, या संचालन का विस्तार करता है, उसे भी संरक्षित किया जाना चाहिए - इस संदर्भ में, एक अपरिवर्तनीय रूट-ऑफ-ट्रस्ट की धारणा यह मानती है कि सिस्टम के सुरक्षा गुणों को मापने के लिए सबसे पहले कोड को यह सुनिश्चित करने के लिए स्वयं पर भरोसा करना चाहिए रूटकिट या बूटकिट सिस्टम को उसके सबसे मौलिक स्तर पर समझौता नहीं करता है।^[77]

मेमोरी डंप

अप्रत्यक्ष स्मृति के एक पूर्ण डंप को मजबूर करने से एक सक्रिय रूटकिट (या कर्नेल-मोड रूटकिट के मामले में एक कोर डंप) पर कब्जा हो जाएगा, ऑफ़लाइन फॉरेंसिक विश्लेषण को रूटकिट सक्षम किए बिना परिणामी डंप फ़ाइल के विरुद्ध डीबगर के साथ निष्पादित करने की अनुमति मिलती है। स्वयं को छिपाने के लिए कोई उपाय करें। यह तकनीक अत्यधिक विशिष्ट है, और इसके लिए गैर-सार्वजनिक स्रोत कोड या डीबग प्रतीक तक पहुंच की आवश्यकता हो सकती है। ऑपरेटिंग सिस्टम द्वारा शुरू किए गए मेमोरी डंप का उपयोग हमेशा हाइपरवाइजर-आधारित रूटकिट का पता लगाने के लिए नहीं किया जा सकता है, जो मेमोरी को पढ़ने के लिए निम्नतम-स्तर के प्रयासों को रोकने और हटाने में सक्षम है।^[43]—एक हार्डवेयर डिवाइस, जैसे कि एक गैर-नकाबपोश व्यवधान को लागू करता है, इस परिदृश्य में मेमोरी को डंप करने की आवश्यकता हो सकती है।^[78]^[79] वर्चुअल मशीनें अंतर्निहित हाइपरविजर से एक समझौता मशीन की मेमोरी का विश्लेषण करना भी आसान बनाती हैं, इसलिए कुछ रूटकिट इस कारण से वर्चुअल मशीनों को संक्रमित करने से बचेंगे।

हटाना

एक विशिष्ट कंप्यूटर उपयोगकर्ता के लिए रूटकिट को मैन्युअल रूप से हटाना अधिकांशतः बेहद मुश्किल होता है,^[24] परंतु कई सुरक्षा-सॉफ़्टवेयर विक्रेता स्वचालित रूप से कुछ रूटकिट का पता लगाने और हटाने के लिए उपकरण प्रदान करते हैं, सामान्यतः एक एंटीवायरस सॉफ़्टवेयर के भाग के रूप में। As of 2005^[update], Microsoft का मासिक Windows दुर्भावनापूर्ण सॉफ़्टवेयर निष्कासन उपकरण रूटकिट के कुछ वर्गों का पता लगाने और उन्हें निकालने में सक्षम है।^[80]^[81] साथ ही, विंडोज डिफेंडर ऑफलाइन रूटकिट को हटा सकता है, क्योंकि यह ऑपरेटिंग सिस्टम शुरू होने से पहले एक विश्वसनीय वातावरण से चलता है।^[82] कुछ एंटीवायरस स्कैनर फाइल सिस्टम एपीआई को बायपास कर सकते हैं, जो रूटकिट द्वारा हेरफेर के लिए असुरक्षित हैं। इसके अतिरिक्त, वे कच्चे फ़ाइल सिस्टम संरचनाओं तक सीधे पहुँचते हैं, और रूटकिट के कारण होने वाले किसी भी अंतर की पहचान करने के लिए सिस्टम एपीआई से परिणामों को मान्य करने के लिए इस जानकारी का उपयोग करते हैं।^{[Notes 2]}^[83]^[84]^[85]^[86] ऐसे विशेषज्ञ हैं जो मानते हैं कि उन्हें हटाने का एकमात्र विश्वसनीय तरीका विश्वसनीय मीडिया से ऑपरेटिंग सिस्टम को पुनः स्थापित करना है।^[87]^[88] ऐसा इसलिए है क्योंकि एक अविश्वसनीय सिस्टम पर चल रहे एंटीवायरस और मैलवेयर हटाने वाले उपकरण अच्छी तरह से लिखे गए कर्नेल-मोड रूटकिट के विरुद्ध अप्रभावी हो सकते हैं। विश्वसनीय मीडिया से एक वैकल्पिक ऑपरेटिंग सिस्टम को बूट करने से एक संक्रमित सिस्टम वॉल्यूम को माउंट किया जा सकता है और संभावित रूप से सुरक्षित रूप से साफ किया जा सकता है और महत्वपूर्ण डेटा को कॉपी किया जा सकता है - या, वैकल्पिक रूप से, एक फोरेंसिक परीक्षा की जा सकती है।^[23] इस उद्देश्य के लिए विंडोज पीई, रिकवरी कंसोल, विंडोज रिकवरी पर्यावरण, बार्टपीई, या लाइव सीडी जैसे लाइटवेट ऑपरेटिंग सिस्टम का उपयोग किया जा सकता है, जिससे सिस्टम को साफ किया जा सकता है। भले ही रूटकिट का प्रकार और प्रकृति ज्ञात हो, मैनुअल मरम्मत अव्यावहारिक हो सकती है, जबकि ऑपरेटिंग सिस्टम और एप्लिकेशन को पुनः इंस्टॉल करना सुरक्षित, सरल और तेज है।^[87]

बचाव

सिस्टम सख्त (कंप्यूटिंग) रूटकिट के खिलाफ रक्षा की पहली परतों में से एक का प्रतिनिधित्व करता है, इसे स्थापित करने में सक्षम होने से रोकने के लिए।^[89] सुरक्षा पैच लागू करना, कम से कम विशेषाधिकार के सिद्धांत को लागू करना, हमले की सतह को कम करना और एंटीवायरस सॉफ़्टवेयर स्थापित करना कुछ मानक सुरक्षा सर्वोत्तम अभ्यास हैं जो मैलवेयर के सभी वर्गों के विरुद्ध प्रभावी हैं।^[90] यूईएफआई जैसे नए सुरक्षित बूट विनिर्देशों को बूटकिट के खतरे को संबोधित करने के लिए डिज़ाइन किया गया है, परंतु ये भी असुरक्षित हैं यदि उनके द्वारा प्रदान की जाने वाली सुरक्षा सुविधाओं का उपयोग नहीं किया जाता है।^[48]सर्वर सिस्टम के लिए, इंटेल विश्वसनीय निष्पादन प्रौद्योगिकी (TXT) जैसी तकनीकों का उपयोग करके रिमोट सर्वर प्रमाणन यह सत्यापित करने का एक तरीका प्रदान करता है कि सर्वर एक ज्ञात अच्छी स्थिति में रहते हैं। उदाहरण के लिए, Microsoft Bitlocker का डेटा-एट-रेस्ट का एन्क्रिप्शन सत्यापित करता है कि सर्वर बूटअप पर ज्ञात अच्छी स्थिति में हैं। PrivateCore vCage एक सॉफ्टवेयर पेशकश है जो बूटकिट से बचने के लिए डेटा-इन-यूज (मेमोरी) को सुरक्षित करता है और सर्वर को सत्यापित करके रूटकिट बूटअप पर एक ज्ञात अच्छी स्थिति में है। PrivateCore कार्यान्वयन इंटेल TXT के साथ मिलकर काम करता है और संभावित बूटकिट और रूटकिट से बचने के लिए सर्वर सिस्टम इंटरफेस को लॉक कर देता है।

यह भी देखें

कंप्यूटर सुरक्षा सम्मेलन
मेजबान आधारित घुसपैठ का पता लगाने प्रणाली
मैन-इन-द-बीच हमला
द रूटकिट आर्सेनल: सिस्टम के डार्क कॉर्नर में पलायन और चोरी

संदर्भ

↑ ^1.0 ^1.1 ^1.2 ^1.3 ^1.4 ^1.5 ^1.6 ^1.7 "रूटकिट्स, 3 का भाग 1: बढ़ता हुआ खतरा" (PDF). McAfee. 2006-04-17. Archived from the original (PDF) on 2006-08-23.
↑ Evancich, N.; Li, J. (2016-08-23). "6.2.3 Rootkits". In Colbert, Edward J. M.; Kott, Alexander (eds.). एससीएडीए और अन्य औद्योगिक नियंत्रण प्रणालियों की साइबर सुरक्षा. Springer. p. 100. ISBN 9783319321257 – via Google Books.
↑ "रूटकिट क्या है - परिभाषा और व्याख्या". www.kaspersky.com (in English). 2021-04-09. Retrieved 2021-11-13.
↑ ^4.0 ^4.1 ^4.2 ^4.3 "विंडोज रूटकिट अवलोकन" (PDF). Symantec. 2006-03-26. Archived from the original (PDF) on 2010-12-14. Retrieved 2010-08-17.
↑ Thompson, Ken (August 1984). "ट्रस्टिंग ट्रस्ट पर विचार" (PDF). Communications of the ACM. 27 (8): 761. doi:10.1145/358198.358210.
↑ ^6.0 ^6.1 Greg Hoglund; James Butler (2006). रूटकिट्स: विंडोज कर्नेल को सबवर्ट करना. Addison-Wesley. p. 4. ISBN 978-0-321-29431-9 – via Google Books.
↑ Dai Zovi, Dino (2009-07-26). उन्नत मैक ओएस एक्स रूटकिट्स (PDF). Blackhat. Endgame Systems. Retrieved 2010-11-23.
↑ "स्टक्सनेट औद्योगिक नियंत्रण प्रणाली के लिए पहली ज्ञात रूटकिट पेश करता है". Symantec. 2010-08-06. Retrieved 2010-12-04.
↑ "स्पाइवेयर विवरण: XCP.Sony.Rootkit". Computer Associates. 2005-11-05. Archived from the original on 2010-08-18. Retrieved 2010-08-19.
↑ Russinovich, Mark (2005-10-31). "सोनी, रूटकिट्स और डिजिटल राइट्स मैनेजमेंट बहुत दूर चला गया". TechNet Blogs. Microsoft. Retrieved 2010-08-16.
↑ "सोनी की दीर्घकालिक रूटकिट सीडी संकट". BBC News. 2005-11-21. Retrieved 2008-09-15.
↑ Felton, Ed (2005-11-15). "सोनी का वेब-आधारित अनइंस्टालर एक बड़ा सुरक्षा छेद खोलता है; सोनी टू रिकॉल डिस्क".
↑ Knight, Will (2005-11-11). "सोनी बीएमजी ने म्यूजिक सीडी पर क्लोकिंग सॉफ्टवेयर पर मुकदमा दायर किया". New Scientist. Retrieved 2010-11-21.
↑ Kyriakidou, Dina (March 2, 2006). ""ग्रीक वाटरगेट" स्कैंडल राजनीतिक शॉकवेव्स भेजता है". Reuters. Retrieved 2007-11-24.^{[dead link]}
↑ ^15.0 ^15.1 Vassilis Prevelakis; Diomidis Spinellis (July 2007). "एथेंस मामला".
↑ Russinovich, Mark (June 2005). "Unearthing Root Kits". Windows IT Pro. Archived from the original on 2012-09-18. Retrieved 2010-12-16.
↑ Marks, Joseph (July 1, 2021). "साइबर सुरक्षा 202: DOJ का भविष्य हैकर्स को बाधित करने में है, न कि केवल उन पर अभियोग लगाने में". The Washington Post. Retrieved July 24, 2021.
↑ Steve Hanna (September 2007). "हनीपोट-आधारित मालवेयर डिटेक्शन के लिए रूटकिट प्रौद्योगिकी का उपयोग करना" (PDF). CCEID Meeting.
↑ Russinovich, Mark (6 February 2006). "डिजिटल राइट्स मैनेजमेंट को हराने के लिए रूटकिट्स का उपयोग करना". Winternals. SysInternals. Archived from the original on 14 August 2006. Retrieved 2006-08-13.
↑ "सिमेंटेक अपने स्वयं के रूटकिट के लिए अद्यतन जारी करता है". HWM (March): 89. 2006 – via Google Books.
↑ ^21.0 ^21.1 Ortega, Alfredo; Sacco, Anibal (2009-07-24). रूटकिट को निष्क्रिय करें: BIOS विरोधी चोरी प्रौद्योगिकियों पर हमला (PDF). Black Hat USA 2009 (PDF). Boston, MA: Core Security Technologies. Retrieved 2014-06-12.
↑ Kleissner, Peter (2009-09-02). "Stoned Bootkit: The Rise of MBR Rootkits & Bootkits in the Wild" (PDF). Archived from the original (PDF) on 2011-07-16. Retrieved 2010-11-23.
↑ ^23.0 ^23.1 ^23.2 Anson, Steve; Bunting, Steve (2007). विंडोज नेटवर्क फोरेंसिक और जांच में महारत हासिल करना. John Wiley and Sons. pp. 73–74. ISBN 978-0-470-09762-5.
↑ ^24.0 ^24.1 ^24.2 ^24.3 "रूटकिट्स पार्ट 2: एक तकनीकी प्राइमर" (PDF). McAfee. 2007-04-03. Archived from the original (PDF) on 2008-12-05. Retrieved 2010-08-17.
↑ Kdm. "NTIllusion: एक पोर्टेबल Win32 यूजरलैंड रूटकिट". Phrack. 62 (12).
↑ ^26.0 ^26.1 ^26.2 ^26.3 "Understanding Anti-Malware Technologies" (PDF). Microsoft. 2007-02-21. Archived from the original (PDF) on 2010-09-11. Retrieved 2010-08-17.
↑ Hoglund, Greg (1999-09-09). "ए * रियल * एनटी रूटकिट, एनटी कर्नेल को पैच करना". Phrack. 9 (55). Retrieved 2010-11-21.
↑ Chuvakin, Anton (2003-02-02). An Overview of Unix Rootkits (PDF) (Report). Chantilly, Virginia: iDEFENSE. Archived from the original (PDF) on 2011-07-25. Retrieved 2010-11-21.
↑ Butler, James; Sparks, Sherri (2005-11-16). "2005 का विंडोज रूटकिट, भाग दो". Symantec Connect. Symantec. Retrieved 2010-11-13.
↑ Butler, James; Sparks, Sherri (2005-11-03). "2005 का विंडोज रूटकिट, भाग एक". Symantec Connect. Symantec. Retrieved 2010-11-12.
↑ Burdach, Mariusz (2004-11-17). "लिनक्स में रूटकिट्स और कर्नेल-स्तर के समझौता का पता लगाना". Symantec. Retrieved 2010-11-23.
↑ Osborne, Charlie (September 17, 2019). "स्किडमैप मैलवेयर अवैध क्रिप्टोक्यूरेंसी खनन को छिपाने के लिए कर्नेल में दब जाता है". ZDNet. Retrieved July 24, 2021.
↑ Marco Giuliani (11 April 2011). "ZeroAccess – एक उन्नत कर्नेल मोड रूटकिट" (PDF). Webroot Software. Retrieved 10 August 2011.
↑ "विंडोज के लिए ड्राइवर साइनिंग आवश्यकताएँ". Microsoft. Retrieved 2008-07-06.
↑ Salter, Jim (July 31, 2020). "बूटहोल पैच के कारण Red Hat और CentOS सिस्टम बूट नहीं हो रहे हैं". Ars Technica. Retrieved July 24, 2021.
↑ Schneier, Bruce (2009-10-23). "एन्क्रिप्टेड हार्ड ड्राइव पर 'ईविल मेड' अटैक". Retrieved 2009-11-07.
↑ Soeder, Derek; Permeh, Ryan (2007-05-09). "चुकंदर". eEye Digital Security. Archived from the original on 2013-08-17. Retrieved 2010-11-23.
↑ Kumar, Nitin; Kumar, Vipin (2007). Vbootkit: Windows Vista सुरक्षा से समझौता (PDF). Black Hat Europe 2007.
↑ "बूट किट: कस्टम बूट सेक्टर आधारित विंडोज 2000/XP/2003 तोड़फोड़". NVlabs. 2007-02-04. Archived from the original on June 10, 2010. Retrieved 2010-11-21.
↑ Kleissner, Peter (2009-10-19). "स्टोन्ड बूटकिट". Peter Kleissner. Retrieved 2009-11-07.^{[self-published source]}
↑ Goodin, Dan (2010-11-16). "दुनिया का सबसे उन्नत रूटकिट 64-बिट विंडोज में प्रवेश करता है". The Register. Retrieved 2010-11-22.
↑ Francisco, Neil McAllister in San. "माइक्रोसॉफ्ट ने ओईएम विंडोज 8 लाइसेंसिंग पर पकड़ मजबूत की". www.theregister.com.
↑ ^43.0 ^43.1 ^43.2 ^43.3 Myers, Michael; Youndt, Stephen (2007-08-07). हार्डवेयर-असिस्टेड वर्चुअल मशीन (एचवीएम) रूटकिट्स का एक परिचय (Report). Crucial Security. CiteSeerX: 10.1.1.90.8832.
↑ King, Samuel T.; Chen, Peter M.; Wang, Yi-Min; Verbowski, Chad; Wang, Helen J.; Lorch, Jacob R. (2006-04-03). International Business Machines (ed.). SubVirt: वर्चुअल मशीन के साथ मैलवेयर को लागू करना (PDF). 2006 IEEE Symposium on Security and Privacy. Institute of Electrical and Electronics Engineers. doi:10.1109/SP.2006.38. ISBN 0-7695-2574-1. Retrieved 2008-09-15. {{cite conference}}: |editor= has generic name (help)
↑ Wang, Zhi; Jiang, Xuxian; Cui, Weidong; Ning, Peng (2009-08-11). "लाइटवेट हुक प्रोटेक्शन के साथ कर्नेल रूटकिट्स का मुकाबला करना" (PDF). In Al-Shaer, Ehab (General Chair) (ed.). Proceedings of the 16th ACM Conference on Computer and Communications Security. CCS 2009: 16th ACM Conference on Computer and Communications Security. Jha, Somesh; Keromytis, Angelos D. (Program Chairs). New York: ACM New York. doi:10.1145/1653662.1653728. ISBN 978-1-60558-894-0. Retrieved 2009-11-11.
↑ "डिवाइस गार्ड विंडोज डिफेंडर एप्लिकेशन कंट्रोल और वर्चुअलाइजेशन-आधारित कोड इंटीग्रिटी (विंडोज 10) की सुरक्षा का संयोजन है".
↑ Delugré, Guillaume (2010-11-21). ब्रॉडकॉम नेटेक्सट्रीम फ़र्मवेयर को उलटना (PDF). hack.lu. Sogeti. Archived from the original (PDF) on 2012-04-25. Retrieved 2010-11-25.
↑ ^48.0 ^48.1 "हैकिंग टीम आरसीएस 9 एजेंट को टारगेट सिस्टम में रखने के लिए यूईएफआई BIOS रूटकिट का उपयोग करती है - TrendLabs Security Intelligence Blog". 2015-07-13.
↑ Heasman, John (2006-01-25). एसीपीआई BIOS रूटकिट का कार्यान्वयन और पता लगाना (PDF). Black Hat Federal 2006. NGS Consulting. Retrieved 2010-11-21.
↑ Heasman, John (2006-11-15). "पीसीआई रूटकिट का कार्यान्वयन और पता लगाना" (PDF). Next Generation Security Software. CiteSeerX: 10.1.1.89.7305. Retrieved 2010-11-13.
↑ Modine, Austin (2008-10-10). "यूरोपीय कार्ड स्वाइप उपकरणों के साथ संगठित अपराध छेड़छाड़: ग्राहक डेटा विदेशों में प्रसारित हुआ". The Register. Situation Publishing. Retrieved 2008-10-13. {{cite web}}: zero width space character in |title= at position 60 (help)
↑ Sacco, Anibal; Ortéga, Alfredo (2009). Persistent BIOS infection (PDF). CanSecWest 2009. Core Security Technologies. Archived from the original (PDF) on 2011-07-08. Retrieved 2010-11-21.
↑ Goodin, Dan (2009-03-24). "न्यूफंगल रूटकिट्स हार्ड डिस्क वाइपिंग से बचे रहते हैं". The Register. Situation Publishing. Retrieved 2009-03-25.
↑ Sacco, Anibal; Ortéga, Alfredo (2009-06-01). "लगातार BIOS संक्रमण: द अर्ली बर्ड कैच द वर्म". Phrack. 66 (7). Retrieved 2010-11-13.
↑ Ric Vieler (2007). पेशेवर रूटकिट्स. John Wiley & Sons. p. 244. ISBN 9780470149546.
↑ Matrosov, Aleksandr; Rodionov, Eugene (2010-06-25). "TDL3: The Rootkit of All Evil?" (PDF). Moscow: ESET. p. 3. Archived from the original (PDF) on 2011-05-13. Retrieved 2010-08-17.
↑ Matrosov, Aleksandr; Rodionov, Eugene (2011-06-27). "The Evolution of TDL: Conquering x64" (PDF). ESET. Archived from the original (PDF) on 2015-07-29. Retrieved 2011-08-08.
↑ Gatlan, Sergiu (May 6, 2021). "नई मोरिया रूटकिट जंगली से पिछले दरवाजे विंडोज सिस्टम में उपयोग की जाती है". Bleeping Computer. Retrieved July 24, 2021.
↑ Brumley, David (1999-11-16). "अदृश्य घुसपैठिए: अभ्यास में रूटकिट". USENIX. USENIX.
↑ ^60.0 ^60.1 ^60.2 ^60.3 ^60.4 Davis, Michael A.; Bodmer, Sean; LeMasters, Aaron (2009-09-03). "Chapter 10: Rootkit Detection" (PDF). हैकिंग उजागर मैलवेयर और रूटकिट्स: मैलवेयर और रूटकिट्स सुरक्षा रहस्य और समाधान. New York: McGraw Hill Professional. ISBN 978-0-07-159118-8.
↑ Trlokom (2006-07-05). "Defeating Rootkits and Keyloggers" (PDF). Trlokom. Archived from the original (PDF) on 2011-07-17. Retrieved 2010-08-17.
↑ Dai Zovi, Dino (2011). "कर्नेल रूटकिट्स". Archived from the original on September 10, 2012. Retrieved 13 Sep 2012.
↑ "ज़ेप्पू". SourceForge. 18 July 2009. Retrieved 8 August 2011.
↑ Cogswell, Bryce; Russinovich, Mark (2006-11-01). "रूटकिट रिवीलर v1.71". Microsoft. Retrieved 2010-11-13.
↑ "रूटकिट और एंटी-रूटकिट". Retrieved 13 September 2017.
↑ "सोफोस एंटी-रूटकिट". Sophos. Retrieved 8 August 2011.
↑ "काला प्रकाश". F-Secure. Retrieved 8 August 2011.
↑ "रेडिक्स एंटी-रूटकिट". usec.at. Retrieved 8 August 2011.
↑ "जीएमईआर". Retrieved 8 August 2011.
↑ Harriman, Josh (2007-10-19). "रूटकिट हटाने की प्रभावशीलता के लिए एक परीक्षण पद्धति" (PDF). Dublin, Ireland: Symantec Security Response. Archived from the original (PDF) on 2009-10-07. Retrieved 2010-08-17.
↑ Cuibotariu, Mircea (2010-02-12). "टिडसर्व और MS10-015". Symantec. Retrieved 2010-08-19.
↑ "MS10-015 स्थापित करने के बाद समस्याएँ पुनः प्रारंभ करें". Microsoft. 2010-02-11. Retrieved 2010-10-05.
↑ Steinberg, Joseph (June 9, 2021). "कीलॉगर्स के बारे में आपको क्या जानना चाहिए". bestantivirus.com. Retrieved July 24, 2021.
↑ "Strider GhostBuster Rootkit Detection". Microsoft Research. 2010-01-28. Archived from the original on 2012-07-29. Retrieved 2010-08-14.
↑ "ऑथेंटिकोड के साथ कोड पर हस्ताक्षर करना और जांचना". Microsoft. Retrieved 2008-09-15.
↑ "नेटवर्क एज पर रूटकिट्स को रोकना" (PDF). Beaverton, Oregon: Trusted Computing Group. January 2017. Retrieved 2008-07-11.
↑ "टीसीजी पीसी विशिष्ट कार्यान्वयन विशिष्टता, संस्करण 1.1" (PDF). Trusted Computing Group. 2003-08-18. Retrieved 2010-11-22.
↑ "Windows-आधारित सिस्टम पर NMI का उपयोग करके एक पूर्ण क्रैश डंप फ़ाइल या कर्नेल क्रैश डंप फ़ाइल कैसे उत्पन्न करें". Microsoft. Retrieved 2010-11-13.
↑ Seshadri, Arvind; et al. (2005). "पायनियर: कोड इंटीग्रिटी का सत्यापन करना और लीगेसी सिस्टम्स पर अनपेक्षित कोड निष्पादन को लागू करना". Proceedings of the Twentieth ACM Symposium on Operating Systems Principles. Carnegie Mellon University. doi:10.1145/1095810.1095812. S2CID 9960430.
↑ Dillard, Kurt (2005-08-03). "रूटकिट लड़ाई: रूटकिट रिवीलर बनाम हैकर डिफेंडर".
↑ "Microsoft Windows दुर्भावनापूर्ण सॉफ़्टवेयर निष्कासन उपकरण Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008, या Windows XP चलाने वाले कंप्यूटरों से विशिष्ट, प्रचलित दुर्भावनापूर्ण सॉफ़्टवेयर को निकालने में मदद करता है". Microsoft. 2010-09-14.
↑ Bettany, Andrew; Halsey, Mike (2017). विंडोज वायरस और मैलवेयर समस्या निवारण. Apress. p. 17. ISBN 9781484226070 – via Google Books.
↑ Hultquist, Steve (2007-04-30). "रूटकिट्स: अगला बड़ा उद्यम खतरा?". InfoWorld. Retrieved 2010-11-21.
↑ "सुरक्षा निगरानी: मौज-मस्ती और लाभ के लिए रूटकिट्स". CNET Reviews. 2007-01-19. Archived from the original on 2012-10-08. Retrieved 2009-04-07.
↑ Bort, Julie (2007-09-29). "बॉटनेट्स के खिलाफ वापस लड़ने के छह तरीके". PCWorld. San Francisco: PCWorld Communications. Retrieved 2009-04-07.
↑ Hoang, Mimi (2006-11-02). "आज के कठिन सुरक्षा खतरों से निपटना: रूटकिट्स". Symantec Connect. Symantec. Retrieved 2010-11-21.
↑ ^87.0 ^87.1 Danseglio, Mike; Bailey, Tony (2005-10-06). "रूटकिट्स: द ऑबस्क्योर हैकर अटैक". Microsoft.
↑ Messmer, Ellen (2006-08-26). "विशेषज्ञ रूटकिट का पता लगाने और हटाने पर विभाजित हैं". NetworkWorld.com. Framingham, Mass.: IDG. Retrieved 2010-08-15.
↑ Skoudis, Ed; Zeltser, Lenny (2004). मैलवेयर: दुर्भावनापूर्ण कोड से लड़ना. Prentice Hall PTR. p. 335. ISBN 978-0-13-101405-3.
↑ Hannel, Jeromey (2003-01-23). "शुरुआत करने वालों के लिए Linux रूटकिट - निवारण से निष्कासन तक". SANS Institute. Archived from the original (PDF) on October 24, 2010. Retrieved 2010-11-22.

अग्रिम पठन

Blunden, Bill (2009). The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System. Wordware. ISBN 978-1-59822-061-2.
Hoglund, Greg; Butler, James (2005). Rootkits: Subverting the Windows Kernel. Addison-Wesley Professional. ISBN 978-0-321-29431-9.
Grampp, F. T.; Morris, Robert H. Sr. (October 1984). "The UNIX System: UNIX Operating System Security". AT&T Bell Laboratories Technical Journal. 62 (8): 1649–1672. doi:10.1002/j.1538-7305.1984.tb00058.x. S2CID 26877484.
Kong, Joseph (2007). Designing BSD Rootkits. No Starch Press. ISBN 978-1-59327-142-8.
Veiler, Ric (2007). Professional Rootkits. Wrox. ISBN 978-0-470-10154-4.

इस पेज में लापता आंतरिक लिंक की सूची

UNIX- जैसे
कार्यकारी प्रबंधक
मस्तिष्क (कंप्यूटर वायरस)
निजी कंप्यूटर
से
हुकिंग
आईईईई स्पेक्ट्रम
वोडाफोन ग्रीस
चित्रमय पहचान और प्रमाणीकरण
प्राधिकार
सर्विस अटैक से इनकार
धोखाधड़ी पर क्लिक करें
हनीपोट (कम्प्यूटिंग)
कास्परस्की एंटी-वायरस
संदेश देना
भेद्यता (कंप्यूटिंग)
डीबगर
दुष्ट नौकरानी हमला
सुरक्षित प्रकार
उन्नत कॉन्फ़िगरेशन और पावर इंटरफ़ेस
सेंट्रल प्रोसेसिंग यूनिट
मिशिगन यूनिवर्सिटी
लैपटॉप के लिए लोजैक
आउट-ऑफ-बैंड प्रबंधन
इंटेल सक्रिय प्रबंधन प्रौद्योगिकी
अचूक अपराध
टाइप I और टाइप II त्रुटियां
अनाधिकृत प्रवेश निरोधक प्रणाली
बाइनरी
सार्वजनिक मुख्य बुनियादी सुविधा
सोर्स कोड
डिबग प्रतीक
फोरेंसिक विश्लेषण
विंडोज दुर्भावनापूर्ण सॉफ़्टवेयर रिमूवल टूल
होस्ट-आधारित घुसपैठ का पता लगाने वाली प्रणाली

बाहरी संबंध

Media related to Rootkits at Wikimedia Commons

Cite error: <ref> tags exist for a group named "Notes", but no corresponding <references group="Notes"/> tag was found

[McAfee1-1] 1.0 ^1.1 ^1.2 ^1.3 ^1.4 ^1.5 ^1.6 ^1.7 "रूटकिट्स, 3 का भाग 1: बढ़ता हुआ खतरा" (PDF). McAfee. 2006-04-17. Archived from the original (PDF) on 2006-08-23.

[2] Evancich, N.; Li, J. (2016-08-23). "6.2.3 Rootkits". In Colbert, Edward J. M.; Kott, Alexander (eds.). एससीएडीए और अन्य औद्योगिक नियंत्रण प्रणालियों की साइबर सुरक्षा. Springer. p. 100. ISBN 9783319321257 – via Google Books.

[3] "रूटकिट क्या है - परिभाषा और व्याख्या". www.kaspersky.com (in English). 2021-04-09. Retrieved 2021-11-13.

[Symantec-4] 4.0 ^4.1 ^4.2 ^4.3 "विंडोज रूटकिट अवलोकन" (PDF). Symantec. 2006-03-26. Archived from the original (PDF) on 2010-12-14. Retrieved 2010-08-17.

[Turing_Award_Lecture-5] Thompson, Ken (August 1984). "ट्रस्टिंग ट्रस्ट पर विचार" (PDF). Communications of the ACM. 27 (8): 761. doi:10.1145/358198.358210.

[Hoglund-6] 6.0 ^6.1 Greg Hoglund; James Butler (2006). रूटकिट्स: विंडोज कर्नेल को सबवर्ट करना. Addison-Wesley. p. 4. ISBN 978-0-321-29431-9 – via Google Books.

[7] Dai Zovi, Dino (2009-07-26). उन्नत मैक ओएस एक्स रूटकिट्स (PDF). Blackhat. Endgame Systems. Retrieved 2010-11-23.

[8] "स्टक्सनेट औद्योगिक नियंत्रण प्रणाली के लिए पहली ज्ञात रूटकिट पेश करता है". Symantec. 2010-08-06. Retrieved 2010-12-04.

[CA-XCP-9] "स्पाइवेयर विवरण: XCP.Sony.Rootkit". Computer Associates. 2005-11-05. Archived from the original on 2010-08-18. Retrieved 2010-08-19.

[markrussinovich-10] Russinovich, Mark (2005-10-31). "सोनी, रूटकिट्स और डिजिटल राइट्स मैनेजमेंट बहुत दूर चला गया". TechNet Blogs. Microsoft. Retrieved 2010-08-16.

[11] "सोनी की दीर्घकालिक रूटकिट सीडी संकट". BBC News. 2005-11-21. Retrieved 2008-09-15.

[felton-12] Felton, Ed (2005-11-15). "सोनी का वेब-आधारित अनइंस्टालर एक बड़ा सुरक्षा छेद खोलता है; सोनी टू रिकॉल डिस्क".

[13] Knight, Will (2005-11-11). "सोनी बीएमजी ने म्यूजिक सीडी पर क्लोकिंग सॉफ्टवेयर पर मुकदमा दायर किया". New Scientist. Retrieved 2010-11-21.

[14] Kyriakidou, Dina (March 2, 2006). ""ग्रीक वाटरगेट" स्कैंडल राजनीतिक शॉकवेव्स भेजता है". Reuters. Retrieved 2007-11-24.^{[dead link]}

[ieee-15] 15.0 ^15.1 Vassilis Prevelakis; Diomidis Spinellis (July 2007). "एथेंस मामला".

[16] Russinovich, Mark (June 2005). "Unearthing Root Kits". Windows IT Pro. Archived from the original on 2012-09-18. Retrieved 2010-12-16.

[17] Marks, Joseph (July 1, 2021). "साइबर सुरक्षा 202: DOJ का भविष्य हैकर्स को बाधित करने में है, न कि केवल उन पर अभियोग लगाने में". The Washington Post. Retrieved July 24, 2021.

[18] Steve Hanna (September 2007). "हनीपोट-आधारित मालवेयर डिटेक्शन के लिए रूटकिट प्रौद्योगिकी का उपयोग करना" (PDF). CCEID Meeting.

[19] Russinovich, Mark (6 February 2006). "डिजिटल राइट्स मैनेजमेंट को हराने के लिए रूटकिट्स का उपयोग करना". Winternals. SysInternals. Archived from the original on 14 August 2006. Retrieved 2006-08-13.

[20] "सिमेंटेक अपने स्वयं के रूटकिट के लिए अद्यतन जारी करता है". HWM (March): 89. 2006 – via Google Books.

[Ortega-21] 21.0 ^21.1 Ortega, Alfredo; Sacco, Anibal (2009-07-24). रूटकिट को निष्क्रिय करें: BIOS विरोधी चोरी प्रौद्योगिकियों पर हमला (PDF). Black Hat USA 2009 (PDF). Boston, MA: Core Security Technologies. Retrieved 2014-06-12.

[22] Kleissner, Peter (2009-09-02). "Stoned Bootkit: The Rise of MBR Rootkits & Bootkits in the Wild" (PDF). Archived from the original (PDF) on 2011-07-16. Retrieved 2010-11-23.

[anson-forensics-23] 23.0 ^23.1 ^23.2 Anson, Steve; Bunting, Steve (2007). विंडोज नेटवर्क फोरेंसिक और जांच में महारत हासिल करना. John Wiley and Sons. pp. 73–74. ISBN 978-0-470-09762-5.

[McAfee2-24] 24.0 ^24.1 ^24.2 ^24.3 "रूटकिट्स पार्ट 2: एक तकनीकी प्राइमर" (PDF). McAfee. 2007-04-03. Archived from the original (PDF) on 2008-12-05. Retrieved 2010-08-17.

[25] Kdm. "NTIllusion: एक पोर्टेबल Win32 यूजरलैंड रूटकिट". Phrack. 62 (12).

[UAMT-26] 26.0 ^26.1 ^26.2 ^26.3 "Understanding Anti-Malware Technologies" (PDF). Microsoft. 2007-02-21. Archived from the original (PDF) on 2010-09-11. Retrieved 2010-08-17.

[27] Hoglund, Greg (1999-09-09). "ए * रियल * एनटी रूटकिट, एनटी कर्नेल को पैच करना". Phrack. 9 (55). Retrieved 2010-11-21.

[28] Chuvakin, Anton (2003-02-02). An Overview of Unix Rootkits (PDF) (Report). Chantilly, Virginia: iDEFENSE. Archived from the original (PDF) on 2011-07-25. Retrieved 2010-11-21.

[29] Butler, James; Sparks, Sherri (2005-11-16). "2005 का विंडोज रूटकिट, भाग दो". Symantec Connect. Symantec. Retrieved 2010-11-13.

[30] Butler, James; Sparks, Sherri (2005-11-03). "2005 का विंडोज रूटकिट, भाग एक". Symantec Connect. Symantec. Retrieved 2010-11-12.

[31] Burdach, Mariusz (2004-11-17). "लिनक्स में रूटकिट्स और कर्नेल-स्तर के समझौता का पता लगाना". Symantec. Retrieved 2010-11-23.

[32] Osborne, Charlie (September 17, 2019). "स्किडमैप मैलवेयर अवैध क्रिप्टोक्यूरेंसी खनन को छिपाने के लिए कर्नेल में दब जाता है". ZDNet. Retrieved July 24, 2021.

[33] Marco Giuliani (11 April 2011). "ZeroAccess – एक उन्नत कर्नेल मोड रूटकिट" (PDF). Webroot Software. Retrieved 10 August 2011.

[34] "विंडोज के लिए ड्राइवर साइनिंग आवश्यकताएँ". Microsoft. Retrieved 2008-07-06.

[35] Salter, Jim (July 31, 2020). "बूटहोल पैच के कारण Red Hat और CentOS सिस्टम बूट नहीं हो रहे हैं". Ars Technica. Retrieved July 24, 2021.

[36] Schneier, Bruce (2009-10-23). "एन्क्रिप्टेड हार्ड ड्राइव पर 'ईविल मेड' अटैक". Retrieved 2009-11-07.

[37] Soeder, Derek; Permeh, Ryan (2007-05-09). "चुकंदर". eEye Digital Security. Archived from the original on 2013-08-17. Retrieved 2010-11-23.

[kumar-vbootkit-38] Kumar, Nitin; Kumar, Vipin (2007). Vbootkit: Windows Vista सुरक्षा से समझौता (PDF). Black Hat Europe 2007.

[39] "बूट किट: कस्टम बूट सेक्टर आधारित विंडोज 2000/XP/2003 तोड़फोड़". NVlabs. 2007-02-04. Archived from the original on June 10, 2010. Retrieved 2010-11-21.

[40] Kleissner, Peter (2009-10-19). "स्टोन्ड बूटकिट". Peter Kleissner. Retrieved 2009-11-07.^{[self-published source]}

[41] Goodin, Dan (2010-11-16). "दुनिया का सबसे उन्नत रूटकिट 64-बिट विंडोज में प्रवेश करता है". The Register. Retrieved 2010-11-22.

[42] Francisco, Neil McAllister in San. "माइक्रोसॉफ्ट ने ओईएम विंडोज 8 लाइसेंसिंग पर पकड़ मजबूत की". www.theregister.com.

[Harris-43] 43.0 ^43.1 ^43.2 ^43.3 Myers, Michael; Youndt, Stephen (2007-08-07). हार्डवेयर-असिस्टेड वर्चुअल मशीन (एचवीएम) रूटकिट्स का एक परिचय (Report). Crucial Security. CiteSeerX: 10.1.1.90.8832.

[44] King, Samuel T.; Chen, Peter M.; Wang, Yi-Min; Verbowski, Chad; Wang, Helen J.; Lorch, Jacob R. (2006-04-03). International Business Machines (ed.). SubVirt: वर्चुअल मशीन के साथ मैलवेयर को लागू करना (PDF). 2006 IEEE Symposium on Security and Privacy. Institute of Electrical and Electronics Engineers. doi:10.1109/SP.2006.38. ISBN 0-7695-2574-1. Retrieved 2008-09-15. {{cite conference}}: |editor= has generic name (help)

[45] Wang, Zhi; Jiang, Xuxian; Cui, Weidong; Ning, Peng (2009-08-11). "लाइटवेट हुक प्रोटेक्शन के साथ कर्नेल रूटकिट्स का मुकाबला करना" (PDF). In Al-Shaer, Ehab (General Chair) (ed.). Proceedings of the 16th ACM Conference on Computer and Communications Security. CCS 2009: 16th ACM Conference on Computer and Communications Security. Jha, Somesh; Keromytis, Angelos D. (Program Chairs). New York: ACM New York. doi:10.1145/1653662.1653728. ISBN 978-1-60558-894-0. Retrieved 2009-11-11.

[46] "डिवाइस गार्ड विंडोज डिफेंडर एप्लिकेशन कंट्रोल और वर्चुअलाइजेशन-आधारित कोड इंटीग्रिटी (विंडोज 10) की सुरक्षा का संयोजन है".

[47] Delugré, Guillaume (2010-11-21). ब्रॉडकॉम नेटेक्सट्रीम फ़र्मवेयर को उलटना (PDF). hack.lu. Sogeti. Archived from the original (PDF) on 2012-04-25. Retrieved 2010-11-25.

[blog.trendmicro.com-48] 48.0 ^48.1 "हैकिंग टीम आरसीएस 9 एजेंट को टारगेट सिस्टम में रखने के लिए यूईएफआई BIOS रूटकिट का उपयोग करती है - TrendLabs Security Intelligence Blog". 2015-07-13.

[49] Heasman, John (2006-01-25). एसीपीआई BIOS रूटकिट का कार्यान्वयन और पता लगाना (PDF). Black Hat Federal 2006. NGS Consulting. Retrieved 2010-11-21.

[50] Heasman, John (2006-11-15). "पीसीआई रूटकिट का कार्यान्वयन और पता लगाना" (PDF). Next Generation Security Software. CiteSeerX: 10.1.1.89.7305. Retrieved 2010-11-13.

[51] Modine, Austin (2008-10-10). "यूरोपीय कार्ड स्वाइप उपकरणों के साथ संगठित अपराध छेड़छाड़: ग्राहक डेटा विदेशों में प्रसारित हुआ". The Register. Situation Publishing. Retrieved 2008-10-13. {{cite web}}: zero width space character in |title= at position 60 (help)

[52] Sacco, Anibal; Ortéga, Alfredo (2009). Persistent BIOS infection (PDF). CanSecWest 2009. Core Security Technologies. Archived from the original (PDF) on 2011-07-08. Retrieved 2010-11-21.

[53] Goodin, Dan (2009-03-24). "न्यूफंगल रूटकिट्स हार्ड डिस्क वाइपिंग से बचे रहते हैं". The Register. Situation Publishing. Retrieved 2009-03-25.

[54] Sacco, Anibal; Ortéga, Alfredo (2009-06-01). "लगातार BIOS संक्रमण: द अर्ली बर्ड कैच द वर्म". Phrack. 66 (7). Retrieved 2010-11-13.

[55] Ric Vieler (2007). पेशेवर रूटकिट्स. John Wiley & Sons. p. 244. ISBN 9780470149546.

[56] Matrosov, Aleksandr; Rodionov, Eugene (2010-06-25). "TDL3: The Rootkit of All Evil?" (PDF). Moscow: ESET. p. 3. Archived from the original (PDF) on 2011-05-13. Retrieved 2010-08-17.

[57] Matrosov, Aleksandr; Rodionov, Eugene (2011-06-27). "The Evolution of TDL: Conquering x64" (PDF). ESET. Archived from the original (PDF) on 2015-07-29. Retrieved 2011-08-08.

[58] Gatlan, Sergiu (May 6, 2021). "नई मोरिया रूटकिट जंगली से पिछले दरवाजे विंडोज सिस्टम में उपयोग की जाती है". Bleeping Computer. Retrieved July 24, 2021.

[59] Brumley, David (1999-11-16). "अदृश्य घुसपैठिए: अभ्यास में रूटकिट". USENIX. USENIX.

[MIT-60] 60.0 ^60.1 ^60.2 ^60.3 ^60.4 Davis, Michael A.; Bodmer, Sean; LeMasters, Aaron (2009-09-03). "Chapter 10: Rootkit Detection" (PDF). हैकिंग उजागर मैलवेयर और रूटकिट्स: मैलवेयर और रूटकिट्स सुरक्षा रहस्य और समाधान. New York: McGraw Hill Professional. ISBN 978-0-07-159118-8.

[trlokom-61] Trlokom (2006-07-05). "Defeating Rootkits and Keyloggers" (PDF). Trlokom. Archived from the original (PDF) on 2011-07-17. Retrieved 2010-08-17.

[62] Dai Zovi, Dino (2011). "कर्नेल रूटकिट्स". Archived from the original on September 10, 2012. Retrieved 13 Sep 2012.

[63] "ज़ेप्पू". SourceForge. 18 July 2009. Retrieved 8 August 2011.

[64] Cogswell, Bryce; Russinovich, Mark (2006-11-01). "रूटकिट रिवीलर v1.71". Microsoft. Retrieved 2010-11-13.

[65] "रूटकिट और एंटी-रूटकिट". Retrieved 13 September 2017.

[66] "सोफोस एंटी-रूटकिट". Sophos. Retrieved 8 August 2011.

[67] "काला प्रकाश". F-Secure. Retrieved 8 August 2011.

[68] "रेडिक्स एंटी-रूटकिट". usec.at. Retrieved 8 August 2011.

[69] "जीएमईआर". Retrieved 8 August 2011.

[71] Harriman, Josh (2007-10-19). "रूटकिट हटाने की प्रभावशीलता के लिए एक परीक्षण पद्धति" (PDF). Dublin, Ireland: Symantec Security Response. Archived from the original (PDF) on 2009-10-07. Retrieved 2010-08-17.

[72] Cuibotariu, Mircea (2010-02-12). "टिडसर्व और MS10-015". Symantec. Retrieved 2010-08-19.

[73] "MS10-015 स्थापित करने के बाद समस्याएँ पुनः प्रारंभ करें". Microsoft. 2010-02-11. Retrieved 2010-10-05.

[74] Steinberg, Joseph (June 9, 2021). "कीलॉगर्स के बारे में आपको क्या जानना चाहिए". bestantivirus.com. Retrieved July 24, 2021.

[75] "Strider GhostBuster Rootkit Detection". Microsoft Research. 2010-01-28. Archived from the original on 2012-07-29. Retrieved 2010-08-14.

[76] "ऑथेंटिकोड के साथ कोड पर हस्ताक्षर करना और जांचना". Microsoft. Retrieved 2008-09-15.

[77] "नेटवर्क एज पर रूटकिट्स को रोकना" (PDF). Beaverton, Oregon: Trusted Computing Group. January 2017. Retrieved 2008-07-11.

[78] "टीसीजी पीसी विशिष्ट कार्यान्वयन विशिष्टता, संस्करण 1.1" (PDF). Trusted Computing Group. 2003-08-18. Retrieved 2010-11-22.

[79] "Windows-आधारित सिस्टम पर NMI का उपयोग करके एक पूर्ण क्रैश डंप फ़ाइल या कर्नेल क्रैश डंप फ़ाइल कैसे उत्पन्न करें". Microsoft. Retrieved 2010-11-13.

[80] Seshadri, Arvind; et al. (2005). "पायनियर: कोड इंटीग्रिटी का सत्यापन करना और लीगेसी सिस्टम्स पर अनपेक्षित कोड निष्पादन को लागू करना". Proceedings of the Twentieth ACM Symposium on Operating Systems Principles. Carnegie Mellon University. doi:10.1145/1095810.1095812. S2CID 9960430.

[81] Dillard, Kurt (2005-08-03). "रूटकिट लड़ाई: रूटकिट रिवीलर बनाम हैकर डिफेंडर".

[82] "Microsoft Windows दुर्भावनापूर्ण सॉफ़्टवेयर निष्कासन उपकरण Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008, या Windows XP चलाने वाले कंप्यूटरों से विशिष्ट, प्रचलित दुर्भावनापूर्ण सॉफ़्टवेयर को निकालने में मदद करता है". Microsoft. 2010-09-14.

[83] Bettany, Andrew; Halsey, Mike (2017). विंडोज वायरस और मैलवेयर समस्या निवारण. Apress. p. 17. ISBN 9781484226070 – via Google Books.

[85] Hultquist, Steve (2007-04-30). "रूटकिट्स: अगला बड़ा उद्यम खतरा?". InfoWorld. Retrieved 2010-11-21.

[86] "सुरक्षा निगरानी: मौज-मस्ती और लाभ के लिए रूटकिट्स". CNET Reviews. 2007-01-19. Archived from the original on 2012-10-08. Retrieved 2009-04-07.

[87] Bort, Julie (2007-09-29). "बॉटनेट्स के खिलाफ वापस लड़ने के छह तरीके". PCWorld. San Francisco: PCWorld Communications. Retrieved 2009-04-07.

[88] Hoang, Mimi (2006-11-02). "आज के कठिन सुरक्षा खतरों से निपटना: रूटकिट्स". Symantec Connect. Symantec. Retrieved 2010-11-21.

[ms-obscure-hacker-89] 87.0 ^87.1 Danseglio, Mike; Bailey, Tony (2005-10-06). "रूटकिट्स: द ऑबस्क्योर हैकर अटैक". Microsoft.

[90] Messmer, Ellen (2006-08-26). "विशेषज्ञ रूटकिट का पता लगाने और हटाने पर विभाजित हैं". NetworkWorld.com. Framingham, Mass.: IDG. Retrieved 2010-08-15.

[91] Skoudis, Ed; Zeltser, Lenny (2004). मैलवेयर: दुर्भावनापूर्ण कोड से लड़ना. Prentice Hall PTR. p. 335. ISBN 978-0-13-101405-3.

[92] Hannel, Jeromey (2003-01-23). "शुरुआत करने वालों के लिए Linux रूटकिट - निवारण से निष्कासन तक". SANS Institute. Archived from the original (PDF) on October 24, 2010. Retrieved 2010-11-22.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[45]

[46]

[47]

[48]

[49]

[50]

[51]

[52]

[53]

[54]

[55]

[56]

[57]

[58]

[59]

[60]

[61]

[62]

[63]

[64]

[65]

[66]

[67]

[68]

[69]

[Notes 1]

[70]

[71]

[72]

[73]

[74]

[75]

[76]

[77]

[78]

[79]

[80]

[81]

[82]

[Notes 2]

[83]

[84]

[85]

[86]

[87]

[88]

[89]

[90]

v t e Malware topics
Infectious malware	Comparison of computer viruses Computer virus Computer worm List of computer worms Timeline of computer viruses and worms
Concealment	Backdoor Clickjacking Man-in-the-browser Man-in-the-middle Rootkit Trojan horse Zombie computer
Malware for profit	Adware Botnet Crimeware Fleeceware Form grabbing Fraudulent dialer Malbot Keystroke logging Privacy-invasive software Ransomware Rogue security software Scareware Spyware Web threats
By operating system	Android malware Classic Mac OS viruses iOS malware Linux malware MacOS malware Macro virus Mobile malware Palm OS viruses HyperCard viruses
Protection	Anti-keylogger Antivirus software Browser security Data loss prevention software Defensive computing Firewall Internet security Intrusion detection system Mobile security Network security
Countermeasures	Computer and network surveillance Honeypot Operation: Bot Roast

Anonymous

Search

रूटकिट: Difference between revisions

Namespaces

More

Page actions

Revision as of 23:52, 24 December 2022

Contents

इतिहास

सोनी बीएमजी कॉपी प्रोटेक्शन रूटकिट स्कैंडल

ग्रीक वायरटैपिंग मामला 2004–05

उपयोग करता है

प्रकार

उपयोगकर्ता मोड

कर्नेल मोड

बूटकिट्स

सूत्र स्तर

फर्मवेयर और हार्डवेयर

स्थापना और क्लोकिंग

जांच

वैकल्पिक विश्वसनीय माध्यम

व्यवहार-आधारित

हस्ताक्षर-आधारित

अंतर-आधारित

अखंडता जांच

मेमोरी डंप

हटाना

बचाव

यह भी देखें

टिप्पणियाँ

संदर्भ

अग्रिम पठन

इस पेज में लापता आंतरिक लिंक की सूची

बाहरी संबंध

Navigation

Navigation

Wiki tools

Wiki tools

@@ Line 1: / Line 1: @@
 {{Short description|Software designed to enable access to unauthorized locations in a computer}}
 {{Information security}}
-रूटकिट सॉफ्टवेयर का एक संग्रह है, जो आमतौर पर दुर्भावनापूर्ण होता है, जिसे कंप्यूटर या इसके [[सॉफ़्टवेयर]] के एक क्षेत्र तक पहुंच को सक्षम करने के लिए डिज़ाइन किया गया है, जिसे अन्यथा अनुमति नहीं है (उदाहरण के लिए, एक अनधिकृत उपयोगकर्ता के लिए) और अक्सर इसके अस्तित्व या अन्य सॉफ़्टवेयर के अस्तित्व को छुपाता है।<ref name="McAfee1"/>रूटकिट शब्द एक [[यौगिक (भाषाविज्ञान)]] है <!-- Do not change to portmanteau; they are not the same --> [[सुपर उपयोगकर्ता]] (यूनिक्स-जैसे ऑपरेटिंग सिस्टम पर विशेषाधिकार प्राप्त खाते का पारंपरिक नाम) और शब्द किट (जो उपकरण को लागू करने वाले सॉफ़्टवेयर घटकों को संदर्भित करता है)।<ref>{{cite book |editor-last1=Colbert |editor-first1=Edward J. M. |editor-last2=Kott |editor-first2=Alexander| last1=Evancich|first1=N.|last2=Li|first2=J.|page=100|date=2016-08-23 |publisher=Springer |title=एससीएडीए और अन्य औद्योगिक नियंत्रण प्रणालियों की साइबर सुरक्षा|chapter=6.2.3 Rootkits |chapter-url=https://books.google.com/books?id=4ZTlDAAAQBAJ&pg=PA100 |isbn=9783319321257|via=[[Google Books]]}}</ref> रूटकिट शब्द का [[मैलवेयर]] के साथ जुड़ाव के कारण नकारात्मक अर्थ है।<ref name="McAfee1"/>
+रूटकिट सॉफ्टवेयर का एक संग्रह है, जो सामान्यतः दुर्भावनापूर्ण होता है, जिसे कंप्यूटर या इसके [[सॉफ़्टवेयर]] के एक क्षेत्र तक पहुंच को सक्षम करने के लिए डिज़ाइन किया गया है, जिसे अन्यथा अनुमति नहीं है (उदाहरण के लिए, एक अनधिकृत उपयोगकर्ता के लिए) और अधिकांशतः इसके अस्तित्व या अन्य सॉफ़्टवेयर के अस्तित्व को छुपाता है।<ref name="McAfee1"/>रूटकिट शब्द एक [[यौगिक (भाषाविज्ञान)]] है <!-- Do not change to portmanteau; they are not the same --> [[सुपर उपयोगकर्ता]] (यूनिक्स-जैसे ऑपरेटिंग सिस्टम पर विशेषाधिकार प्राप्त खाते का पारंपरिक नाम) और शब्द किट (जो उपकरण को लागू करने वाले सॉफ़्टवेयर घटकों को संदर्भित करता है)।<ref>{{cite book |editor-last1=Colbert |editor-first1=Edward J. M. |editor-last2=Kott |editor-first2=Alexander| last1=Evancich|first1=N.|last2=Li|first2=J.|page=100|date=2016-08-23 |publisher=Springer |title=एससीएडीए और अन्य औद्योगिक नियंत्रण प्रणालियों की साइबर सुरक्षा|chapter=6.2.3 Rootkits |chapter-url=https://books.google.com/books?id=4ZTlDAAAQBAJ&pg=PA100 |isbn=9783319321257|via=[[Google Books]]}}</ref> रूटकिट शब्द का [[मैलवेयर]] के साथ जुड़ाव के कारण नकारात्मक अर्थ है।<ref name="McAfee1"/>
-रूटकिट इंस्टॉलेशन को स्वचालित किया जा सकता है, या एक [[हैकर (कंप्यूटर सुरक्षा)]] रूट या एडमिनिस्ट्रेटर एक्सेस प्राप्त करने के बाद इसे इंस्टॉल कर सकता है।<ref>{{Cite web|date=2021-04-09|title=रूटकिट क्या है - परिभाषा और व्याख्या|url=https://www.kaspersky.com/resource-center/definitions/what-is-rootkit|access-date=2021-11-13|website=www.kaspersky.com|language=en}}</ref> इस पहुंच को प्राप्त करना एक प्रणाली पर सीधे हमले का परिणाम है, यानी भेद्यता (जैसे [[विशेषाधिकार वृद्धि]]) या [[पासवर्ड]] ([[पासवर्ड क्रैकिंग]] या [[सोशल इंजीनियरिंग (सुरक्षा)]] रणनीति जैसे [[फ़िशिंग]] द्वारा प्राप्त) का शोषण करना। एक बार इंस्टॉल हो जाने पर, घुसपैठ को छुपाना और साथ ही विशेषाधिकार प्राप्त पहुंच को बनाए रखना संभव हो जाता है। किसी सिस्टम पर पूर्ण नियंत्रण का अर्थ है कि मौजूदा सॉफ़्टवेयर को संशोधित किया जा सकता है, जिसमें सॉफ़्टवेयर भी शामिल है जो अन्यथा इसका पता लगाने या इसे रोकने के लिए उपयोग किया जा सकता है।
+रूटकिट इंस्टॉलेशन को स्वचालित किया जा सकता है, या एक [[हैकर (कंप्यूटर सुरक्षा)]] रूट या एडमिनिस्ट्रेटर एक्सेस प्राप्त करने के बाद इसे इंस्टॉल कर सकता है।<ref>{{Cite web|date=2021-04-09|title=रूटकिट क्या है - परिभाषा और व्याख्या|url=https://www.kaspersky.com/resource-center/definitions/what-is-rootkit|access-date=2021-11-13|website=www.kaspersky.com|language=en}}</ref> इस पहुंच को प्राप्त करना एक प्रणाली पर सीधे हमले का परिणाम है, अर्थात भेद्यता (जैसे [[विशेषाधिकार वृद्धि]]) या [[पासवर्ड]] ([[पासवर्ड क्रैकिंग]] या [[सोशल इंजीनियरिंग (सुरक्षा)]] रणनीति जैसे [[फ़िशिंग]] द्वारा प्राप्त) का शोषण करना। एक बार इंस्टॉल हो जाने पर, घुसपैठ को छुपाना और साथ ही विशेषाधिकार प्राप्त पहुंच को बनाए रखना संभव हो जाता है। किसी सिस्टम पर पूर्ण नियंत्रण का अर्थ है कि मौजूदा सॉफ़्टवेयर को संशोधित किया जा सकता है, जिसमें सॉफ़्टवेयर भी सम्मलित है जो अन्यथा इसका पता लगाने या इसे रोकने के लिए उपयोग किया जा सकता है।
-रूटकिट का पता लगाना मुश्किल है क्योंकि एक रूटकिट उस सॉफ़्टवेयर को नष्ट करने में सक्षम हो सकता है जो इसे खोजने का इरादा रखता है। पता लगाने के तरीकों में एक वैकल्पिक और विश्वसनीय [[ऑपरेटिंग सिस्टम]], व्यवहार-आधारित तरीके, हस्ताक्षर स्कैनिंग, अंतर स्कैनिंग और [[कोर निपात]] विश्लेषण का उपयोग करना शामिल है। हटाना जटिल या व्यावहारिक रूप से असंभव हो सकता है, खासकर उन मामलों में जहां रूटकिट [[कर्नेल (ऑपरेटिंग सिस्टम)]] में रहता है; ऑपरेटिंग सिस्टम की पुनर्स्थापना समस्या का एकमात्र उपलब्ध समाधान हो सकता है। [[फर्मवेयर]] रूटकिट के साथ काम करते समय, हटाने के लिए [[संगणक धातु सामग्री]] प्रतिस्थापन या विशेष उपकरण की आवश्यकता हो सकती है।
+रूटकिट का पता लगाना मुश्किल है क्योंकि एक रूटकिट उस सॉफ़्टवेयर को नष्ट करने में सक्षम हो सकता है जो इसे खोजने का इरादा रखता है। पता लगाने के तरीकों में एक वैकल्पिक और विश्वसनीय [[ऑपरेटिंग सिस्टम]], व्यवहार-आधारित विधि, हस्ताक्षर स्कैनिंग, अंतर स्कैनिंग और [[कोर निपात]] विश्लेषण का उपयोग करना सम्मलित है। हटाना जटिल या व्यावहारिक रूप से असंभव हो सकता है, खासकर उन स्थितियों में जहां रूटकिट [[कर्नेल (ऑपरेटिंग सिस्टम)]] में रहता है; ऑपरेटिंग सिस्टम की पुनर्स्थापना समस्या का एकमात्र उपलब्ध समाधान हो सकता है। [[फर्मवेयर]] रूटकिट के साथ काम करते समय, हटाने के लिए [[संगणक धातु सामग्री]] प्रतिस्थापन या विशेष उपकरण की आवश्यकता हो सकती है।
 == इतिहास ==
@@ Line 31: / Line 31: @@
   | year=2008
   | isbn=978-1-59749-240-9
-  |author1=Andrew Hay |author2=Daniel Cid |author3=Rory Bray|via=[[Google Books]] }}</ref> 1983 में [[ट्यूरिंग पुरस्कार]] प्राप्त करने पर दिए गए व्याख्यान में, [[बेल लैब्स]] के [[केन थॉम्पसन]], [[यूनिक्स]] के रचनाकारों में से एक, ने यूनिक्स वितरण में [[सी संकलक]] को नष्ट करने के बारे में सिद्धांत दिया और शोषण पर चर्चा की। संशोधित संकलक यूनिक्स को संकलित करने के प्रयासों का पता लगाएगा <code>login</code> आदेश दें और परिवर्तित कोड उत्पन्न करें जो न केवल उपयोगकर्ता के सही पासवर्ड को स्वीकार करेगा, बल्कि हमलावर को ज्ञात एक अतिरिक्त [[पिछले दरवाजे (कंप्यूटिंग)]] पासवर्ड भी होगा। इसके अतिरिक्त, कंपाइलर कंपाइलर के एक नए संस्करण को संकलित करने के प्रयासों का पता लगाएगा, और उसी कारनामे को नए कंपाइलर में सम्मिलित करेगा। के लिए स्रोत कोड की समीक्षा <code>login</code> कमांड या अपडेटेड कंपाइलर किसी भी दुर्भावनापूर्ण कोड को प्रकट नहीं करेगा।<ref name="Turing Award Lecture">{{cite journal
+  |author1=Andrew Hay |author2=Daniel Cid |author3=Rory Bray|via=[[Google Books]] }}</ref> 1983 में [[ट्यूरिंग पुरस्कार]] प्राप्त करने पर दिए गए व्याख्यान में, [[बेल लैब्स]] के [[केन थॉम्पसन]], [[यूनिक्स]] के रचनाकारों में से एक, ने यूनिक्स वितरण में [[सी संकलक]] को नष्ट करने के बारे में सिद्धांत दिया और शोषण पर चर्चा की। संशोधित संकलक यूनिक्स को संकलित करने के प्रयासों का पता लगाएगा <code>login</code> आदेश दें और परिवर्तित कोड उत्पन्न करें जो न मात्र उपयोगकर्ता के सही पासवर्ड को स्वीकार करेगा, बल्कि हमलावर को ज्ञात एक अतिरिक्त [[पिछले दरवाजे (कंप्यूटिंग)]] पासवर्ड भी होगा। इसके अतिरिक्त, कंपाइलर कंपाइलर के एक नए संस्करण को संकलित करने के प्रयासों का पता लगाएगा, और उसी कारनामे को नए कंपाइलर में सम्मिलित करेगा। के लिए स्रोत कोड की समीक्षा <code>login</code> कमांड या अपडेटेड कंपाइलर किसी भी दुर्भावनापूर्ण कोड को प्रकट नहीं करेगा।<ref name="Turing Award Lecture">{{cite journal
   | journal=Communications of the ACM
   | title=ट्रस्टिंग ट्रस्ट पर विचार| volume=27
@@ Line 51: / Line 51: @@
   | archive-date=2006-08-23
 }}</ref>
-समय के साथ, डॉस-वायरस क्लोकिंग विधियां अधिक परिष्कृत हो गईं। उन्नत तकनीकों में फाइलों में अनधिकृत संशोधनों को छिपाने के लिए लो-लेवल डिस्क [[INT 13H]] BIOS [[रुकावट डालना]] कॉल को हुक करना शामिल है।<ref name="McAfee1"/>
+समय के साथ, डॉस-वायरस क्लोकिंग विधियां अधिक परिष्कृत हो गईं। उन्नत तकनीकों में फाइलों में अनधिकृत संशोधनों को छिपाने के लिए लो-लेवल डिस्क [[INT 13H]] BIOS [[रुकावट डालना]] कॉल को हुक करना सम्मलित है।<ref name="McAfee1"/>
 [[विंडोज एनटी]] ऑपरेटिंग सिस्टम के लिए पहला दुर्भावनापूर्ण रूटकिट 1999 में दिखाई दिया: एनटीआरओटकिट नामक एक ट्रोजन जिसे [[ग्रेग होगलंड]] द्वारा बनाया गया था।<ref name="Hoglund"/>इसके बाद 2003 में हैकर डिफेंडर द्वारा किया गया।<ref name="McAfee1"/>पहला रूटकिट लक्ष्यीकरण [[macOS]] 2009 में सामने आया,<ref>{{cite conference
@@ Line 72: / Line 72: @@
 [[File:RootkitRevealer.png|thumb|right|[[रूटकिट रिवीलर]] का स्क्रीनशॉट, [[विस्तारित कॉपी सुरक्षा]] रूटकिट द्वारा छिपी हुई फाइलों को दिखा रहा है]]
 {{Main|Sony BMG copy protection rootkit scandal}}
-में, [[Sony BMG]] ने [[कॉपी सुरक्षा]] और [[डिजिटल अधिकार प्रबंधन]] सॉफ़्टवेयर के साथ [[कॉम्पैक्ट डिस्क]] प्रकाशित की, जिसे विस्तारित कॉपी सुरक्षा कहा जाता है, जिसे सॉफ़्टवेयर कंपनी फ़र्स्ट 4 इंटरनेट द्वारा बनाया गया है। सॉफ्टवेयर में एक म्यूजिक प्लेयर शामिल था लेकिन चुपचाप एक रूटकिट स्थापित किया गया था जो सीडी तक पहुंचने के लिए उपयोगकर्ता की क्षमता को सीमित करता था।<ref name="CA-XCP">{{cite web
+में, [[Sony BMG]] ने [[कॉपी सुरक्षा]] और [[डिजिटल अधिकार प्रबंधन]] सॉफ़्टवेयर के साथ [[कॉम्पैक्ट डिस्क]] प्रकाशित की, जिसे विस्तारित कॉपी सुरक्षा कहा जाता है, जिसे सॉफ़्टवेयर कंपनी फ़र्स्ट 4 इंटरनेट द्वारा बनाया गया है। सॉफ्टवेयर में एक म्यूजिक प्लेयर सम्मलित था परंतु चुपचाप एक रूटकिट स्थापित किया गया था जो सीडी तक पहुंचने के लिए उपयोगकर्ता की क्षमता को सीमित करता था।<ref name="CA-XCP">{{cite web
   | url=http://www.ca.com/us/securityadvisor/pest/pest.aspx?id=453096362
   | publisher=[[Computer Associates]]
@@ Line 89: / Line 89: @@
   | date=2005-10-31
   | access-date=2010-08-16
-}}</ref> खुद को छिपाने के लिए, रूटकिट उपयोगकर्ता को $sys$ से शुरू होने वाली किसी भी फ़ाइल से छुपाता है। रोसिनोविच की रिपोर्ट के तुरंत बाद, मैलवेयर सामने आया जिसने प्रभावित सिस्टम की भेद्यता का लाभ उठाया।<ref name="McAfee1"/>[[बीबीसी]] के एक विश्लेषक ने इसे [[जनसंपर्क]] दुःस्वप्न कहा।<ref>{{cite news
+}}</ref> स्वयं को छिपाने के लिए, रूटकिट उपयोगकर्ता को $sys$ से शुरू होने वाली किसी भी फ़ाइल से छुपाता है। रोसिनोविच की रिपोर्ट के तुरंत बाद, मैलवेयर सामने आया जिसने प्रभावित सिस्टम की भेद्यता का लाभ उठाया।<ref name="McAfee1"/>[[बीबीसी]] के एक विश्लेषक ने इसे [[जनसंपर्क]] दुःस्वप्न कहा।<ref>{{cite news
   | url=http://news.bbc.co.uk/2/hi/technology/4456970.stm
   | title=सोनी की दीर्घकालिक रूटकिट सीडी संकट| date= 2005-11-21
   | access-date=2008-09-15
   | work=[[BBC News]]
-}}</ref> सोनी बीएमजी ने रूटकिट को [[अनइंस्टॉलर]] करने के लिए [[पैच (कंप्यूटिंग)]] जारी किया, लेकिन इसने उपयोगकर्ताओं को और भी गंभीर भेद्यता के लिए उजागर किया।<ref name=felton>{{cite web
+}}</ref> सोनी बीएमजी ने रूटकिट को [[अनइंस्टॉलर]] करने के लिए [[पैच (कंप्यूटिंग)]] जारी किया, परंतु इसने उपयोगकर्ताओं को और भी गंभीर भेद्यता के लिए उजागर किया।<ref name=felton>{{cite web
   | url=https://freedom-to-tinker.com/blog/felten/sonys-web-based-uninstaller-opens-big-security-hole-sony-recall-discs/
   | title=सोनी का वेब-आधारित अनइंस्टालर एक बड़ा सुरक्षा छेद खोलता है; सोनी टू रिकॉल डिस्क| date=2005-11-15
@@ Line 120: / Line 120: @@
   | url=http://www.tiscali.co.uk/news/newswire.php/news/reuters/2006/02/03/odd/34greekwatergate34scandalsendspoliticalshockwaves.html
   | date=September 2012
-}}</ref> वोडाफोन [[यूनान]] नेटवर्क पर 100 से अधिक [[चल दूरभाष]]ों की अवैध [[टेलीफोन टैपिंग]] शामिल थी, जो ज्यादातर ग्रीस सरकार के सदस्यों और शीर्ष-श्रेणी के सिविल सेवकों के थे। नल अगस्त 2004 की शुरुआत के करीब शुरू हुए और अपराधियों की पहचान का पता लगाए बिना मार्च 2005 में हटा दिए गए। घुसपैठियों ने एरिक्सन के [[एक्स टेलीफोन एक्सचेंज]] को निशाना बनाते हुए एक रूटकिट स्थापित किया। IEEE स्पेक्ट्रम के अनुसार, यह पहली बार था जब किसी विशेष प्रयोजन प्रणाली पर रूटकिट देखा गया था, इस मामले में एरिक्सन टेलीफोन स्विच।<ref name="ieee">{{cite news|author1=Vassilis Prevelakis|author2=Diomidis Spinellis|date=July 2007|title=एथेंस मामला|url=https://spectrum.ieee.org/telecom/security/the-athens-affair/0}}</ref> रूटकिट को एक्सचेंज की मेमोरी को पैच करने के लिए डिज़ाइन किया गया था जब यह चल रहा था, ऑडिट लॉग को अक्षम करते हुए [[वायरटैपिंग]] को सक्षम करें, सक्रिय प्रक्रियाओं और सक्रिय डेटा ब्लॉक को सूचीबद्ध करने वाले कमांड को पैच करें और डेटा ब्लॉक [[अंततः,]] सत्यापन कमांड को संशोधित करें। एक बैकडोर ने एक ऑपरेटर को [[sysadmin]] स्थिति के साथ एक्सचेंज के लेनदेन लॉग, अलार्म और निगरानी क्षमता से संबंधित एक्सेस कमांड को निष्क्रिय करने की अनुमति दी।<ref name="ieee"/>घुसपैठियों द्वारा एक दोषपूर्ण अद्यतन स्थापित करने के बाद रूटकिट की खोज की गई, जिसके कारण [[एसएमएस]] पाठ वितरित नहीं हो पाए, जिससे एक स्वचालित विफलता रिपोर्ट उत्पन्न हुई। एरिक्सन इंजीनियरों को गलती की जांच करने के लिए बुलाया गया और रूटकिट और अवैध निगरानी सॉफ्टवेयर के साथ निगरानी किए जा रहे फोन नंबरों की सूची वाले छिपे हुए डेटा ब्लॉक की खोज की।
+}}</ref> वोडाफोन [[यूनान]] नेटवर्क पर 100 से अधिक [[चल दूरभाष]]ों की अवैध [[टेलीफोन टैपिंग]] सम्मलित थी, जो ज्यादातर ग्रीस सरकार के सदस्यों और शीर्ष-श्रेणी के सिविल सेवकों के थे। नल अगस्त 2004 की शुरुआत के पास शुरू हुए और अपराधियों की पहचान का पता लगाए बिना मार्च 2005 में हटा दिए गए। घुसपैठियों ने एरिक्सन के [[एक्स टेलीफोन एक्सचेंज]] को निशाना बनाते हुए एक रूटकिट स्थापित किया। IEEE स्पेक्ट्रम के अनुसार, यह पहली बार था जब किसी विशेष प्रयोजन प्रणाली पर रूटकिट देखा गया था, इस मामले में एरिक्सन टेलीफोन स्विच।<ref name="ieee">{{cite news|author1=Vassilis Prevelakis|author2=Diomidis Spinellis|date=July 2007|title=एथेंस मामला|url=https://spectrum.ieee.org/telecom/security/the-athens-affair/0}}</ref> रूटकिट को एक्सचेंज की मेमोरी को पैच करने के लिए डिज़ाइन किया गया था जब यह चल रहा था, ऑडिट लॉग को अक्षम करते हुए [[वायरटैपिंग]] को सक्षम करें, सक्रिय प्रक्रियाओं और सक्रिय डेटा ब्लॉक को सूचीबद्ध करने वाले कमांड को पैच करें और डेटा ब्लॉक [[अंततः,]] सत्यापन कमांड को संशोधित करें। एक बैकडोर ने एक ऑपरेटर को [[sysadmin]] स्थिति के साथ एक्सचेंज के लेनदेन लॉग, अलार्म और निगरानी क्षमता से संबंधित एक्सेस कमांड को निष्क्रिय करने की अनुमति दी।<ref name="ieee"/>घुसपैठियों द्वारा एक दोषपूर्ण अद्यतन स्थापित करने के बाद रूटकिट की खोज की गई, जिसके कारण [[एसएमएस]] पाठ वितरित नहीं हो पाए, जिससे एक स्वचालित विफलता रिपोर्ट उत्पन्न हुई। एरिक्सन इंजीनियरों को गलती की जांच करने के लिए बुलाया गया और रूटकिट और अवैध निगरानी सॉफ्टवेयर के साथ निगरानी किए जा रहे फोन नंबरों की सूची वाले छिपे हुए डेटा ब्लॉक की खोज की।
 == उपयोग करता है ==
@@ Line 133: / Line 133: @@
 रूटकिट्स और उनके पेलोड के कई उपयोग हैं:
-*एक हमलावर को पिछले दरवाजे (कंप्यूटिंग) के माध्यम से पूर्ण पहुंच प्रदान करें, अनधिकृत पहुंच की अनुमति दें, उदाहरण के लिए, दस्तावेज़ों को चुराना या गलत करना। इसे पूरा करने के तरीकों में से एक लॉगिन तंत्र को हटाना है, जैसे कि यूनिक्स जैसी प्रणालियों पर / बिन / लॉगिन प्रोग्राम या विंडोज़ पर ग्राफिकल पहचान और [[प्रमाणीकरण]]। प्रतिस्थापन सामान्य रूप से कार्य करता प्रतीत होता है, लेकिन एक गुप्त लॉगिन संयोजन को भी स्वीकार करता है जो एक हमलावर को मानक प्रमाणीकरण और प्राधिकरण तंत्र को दरकिनार करते हुए प्रशासनिक विशेषाधिकारों के साथ सिस्टम तक सीधी पहुंच की अनुमति देता है।
+*एक हमलावर को पिछले दरवाजे (कंप्यूटिंग) के माध्यम से पूर्ण पहुंच प्रदान करें, अनधिकृत पहुंच की अनुमति दें, उदाहरण के लिए, दस्तावेज़ों को चुराना या गलत करना। इसे पूरा करने के तरीकों में से एक लॉगिन तंत्र को हटाना है, जैसे कि यूनिक्स जैसी प्रणालियों पर / बिन / लॉगिन प्रोग्राम या विंडोज़ पर ग्राफिकल पहचान और [[प्रमाणीकरण]]। प्रतिस्थापन सामान्य रूप से कार्य करता प्रतीत होता है, परंतु एक गुप्त लॉगिन संयोजन को भी स्वीकार करता है जो एक हमलावर को मानक प्रमाणीकरण और प्राधिकरण तंत्र को दरकिनार करते हुए प्रशासनिक विशेषाधिकारों के साथ सिस्टम तक सीधी पहुंच की अनुमति देता है।
 *अन्य मैलवेयर छुपाएं, विशेष रूप से पासवर्ड-चोरी करने वाले [[कीस्ट्रोक लॉगिंग]] और कंप्यूटर वायरस।<ref>{{cite journal
   |last        = Russinovich
@@ Line 147: / Line 147: @@
   |archive-date = 2012-09-18
 }}</ref>
-* अन्य कंप्यूटरों पर हमलों के लिए समझौता मशीन को एक [[ज़ोंबी कंप्यूटर]] के रूप में उपयुक्त करें। (हमला हमलावर के सिस्टम के बजाय समझौता किए गए सिस्टम या नेटवर्क से उत्पन्न होता है।) ज़ोंबी कंप्यूटर आमतौर पर बड़े [[botnet]] के सदस्य होते हैं जो अन्य चीजों के साथ-डिनायल-ऑफ-सर्विस हमलों को लॉन्च कर सकते हैं, [[ईमेल]] [[स्पैम (इलेक्ट्रॉनिक)]] वितरित कर सकते हैं। और क्लिक धोखाधड़ी करें।<ref>{{cite web|url=https://www.washingtonpost.com/politics/2021/07/01/cybersecurity-202-dojs-future-is-disrupting-hackers-not-just-indicting-them/|title=साइबर सुरक्षा 202: DOJ का भविष्य हैकर्स को बाधित करने में है, न कि केवल उन पर अभियोग लगाने में|last=Marks|first=Joseph|newspaper=[[The Washington Post]]|date=July 1, 2021|access-date=July 24, 2021}}</ref>
+* अन्य कंप्यूटरों पर हमलों के लिए समझौता मशीन को एक [[ज़ोंबी कंप्यूटर]] के रूप में उपयुक्त करें। (हमला हमलावर के सिस्टम के अतिरिक्त समझौता किए गए सिस्टम या नेटवर्क से उत्पन्न होता है।) ज़ोंबी कंप्यूटर सामान्यतः बड़े [[botnet]] के सदस्य होते हैं जो अन्य चीजों के साथ-डिनायल-ऑफ-सर्विस हमलों को लॉन्च कर सकते हैं, [[ईमेल]] [[स्पैम (इलेक्ट्रॉनिक)]] वितरित कर सकते हैं। और क्लिक धोखाधड़ी करें।<ref>{{cite web|url=https://www.washingtonpost.com/politics/2021/07/01/cybersecurity-202-dojs-future-is-disrupting-hackers-not-just-indicting-them/|title=साइबर सुरक्षा 202: DOJ का भविष्य हैकर्स को बाधित करने में है, न कि केवल उन पर अभियोग लगाने में|last=Marks|first=Joseph|newspaper=[[The Washington Post]]|date=July 1, 2021|access-date=July 24, 2021}}</ref>
 कुछ उदाहरणों में, रूटकिट वांछित कार्यक्षमता प्रदान करता है, और कंप्यूटर उपयोगकर्ता की ओर से जानबूझकर स्थापित किया जा सकता है:
 * हमलों का पता लगाएं, उदाहरण के लिए, हनीपोट (कंप्यूटिंग) में।<ref>{{Cite web
@@ Line 167: / Line 167: @@
   | archive-date=14 August 2006
   | url-status=dead
-  }}</ref> एल्कोहल 120% और [[डेमोन टूल्स]] गैर-विरोधी रूटकिट के व्यावसायिक उदाहरण हैं जिनका उपयोग [[SafeDisc]] और [[SecuROM]] जैसे कॉपी-प्रोटेक्शन मैकेनिज्म को हराने के लिए किया जाता है।<ref>{{cite journal|url=https://books.google.com/books?id=5-oDAAAAMBAJ&pg=PA89|title=सिमेंटेक अपने स्वयं के रूटकिट के लिए अद्यतन जारी करता है|page=89|journal=HWM|year=2006|issue=March|via=[[Google Books]]}}</ref> Kaspersky एंटी-वायरस खुद को दुर्भावनापूर्ण कार्यों से बचाने के लिए रूटकिट जैसी तकनीकों का भी उपयोग करता है। यह सिस्टम गतिविधि को बाधित करने के लिए अपने स्वयं के [[डिवाइस ड्राइवर]] को लोड करता है, और फिर अन्य प्रक्रियाओं को खुद को नुकसान पहुँचाने से रोकता है। इसकी प्रक्रियाएँ छिपी नहीं हैं, लेकिन मानक विधियों द्वारा समाप्त नहीं की जा सकती हैं।
+  }}</ref> एल्कोहल 120% और [[डेमोन टूल्स]] गैर-विरोधी रूटकिट के व्यावसायिक उदाहरण हैं जिनका उपयोग [[SafeDisc]] और [[SecuROM]] जैसे कॉपी-प्रोटेक्शन मैकेनिज्म को हराने के लिए किया जाता है।<ref>{{cite journal|url=https://books.google.com/books?id=5-oDAAAAMBAJ&pg=PA89|title=सिमेंटेक अपने स्वयं के रूटकिट के लिए अद्यतन जारी करता है|page=89|journal=HWM|year=2006|issue=March|via=[[Google Books]]}}</ref> Kaspersky एंटी-वायरस स्वयं को दुर्भावनापूर्ण कार्यों से बचाने के लिए रूटकिट जैसी तकनीकों का भी उपयोग करता है। यह सिस्टम गतिविधि को बाधित करने के लिए अपने स्वयं के [[डिवाइस ड्राइवर]] को लोड करता है, और फिर अन्य प्रक्रियाओं को स्वयं को नुकसान पहुँचाने से रोकता है। इसकी प्रक्रियाएँ छिपी नहीं हैं, परंतु मानक विधियों द्वारा समाप्त नहीं की जा सकती हैं।
 *एंटी-थेफ्ट प्रोटेक्शन: लैपटॉप में BIOS-आधारित रूटकिट सॉफ्टवेयर हो सकता है जो समय-समय पर एक केंद्रीय प्राधिकरण को रिपोर्ट करेगा, जिससे लैपटॉप की निगरानी की जा सकेगी, चोरी होने की स्थिति में सूचना को अक्षम या मिटा दिया जा सकेगा।<ref name="Ortega">{{cite conference
   | url = https://www.blackhat.com/presentations/bh-usa-09/ORTEGA/BHUSA09-Ortega-DeactivateRootkit-PAPER.pdf
@@ Line 202: / Line 202: @@
 === उपयोगकर्ता मोड ===
-[[File:CPU ring scheme.svg|thumb|right|कंप्यूटर सुरक्षा [[रिंग (कंप्यूटर सुरक्षा)]] (ध्यान दें कि हाइपरविजर|रिंग -1 नहीं दिखाया गया है)]]उपयोक्ता-मोड रूटकिट रिंग (कंप्यूटर सुरक्षा) में चलते हैं, अन्य अनुप्रयोगों के साथ-साथ निम्न-स्तरीय सिस्टम प्रक्रियाओं के बजाय उपयोगकर्ता के रूप में।<ref name="McAfee2"/>एप्लिकेशन प्रोग्रामिंग इंटरफेस (एपीआई) के मानक व्यवहार को रोकने और संशोधित करने के लिए उनके पास कई संभावित इंस्टॉलेशन वैक्टर हैं। कुछ अन्य प्रक्रियाओं में [[गतिशील लिंकर]] लाइब्रेरी (जैसे डायनेमिक-लिंक लाइब्रेरी|.DLL फ़ाइल विंडोज़ पर, या .dylib फ़ाइल macOS पर) इंजेक्ट करते हैं, और इस तरह इसे स्पूफ करने के लिए किसी भी लक्ष्य प्रक्रिया के अंदर निष्पादित करने में सक्षम होते हैं; अन्य पर्याप्त विशेषाधिकारों के साथ लक्ष्य अनुप्रयोग की स्मृति को अधिलेखित कर देते हैं। इंजेक्शन तंत्र में शामिल हैं:<ref name="McAfee2"/>*विक्रेता द्वारा आपूर्ति किए गए एप्लिकेशन एक्सटेंशन का उपयोग। उदाहरण के लिए, [[विंडोज़ एक्सप्लोरर]] में सार्वजनिक इंटरफेस हैं जो तीसरे पक्ष को इसकी कार्यक्षमता बढ़ाने की अनुमति देते हैं।
+[[File:CPU ring scheme.svg|thumb|right|कंप्यूटर सुरक्षा [[रिंग (कंप्यूटर सुरक्षा)]] (ध्यान दें कि हाइपरविजर|रिंग -1 नहीं दिखाया गया है)]]उपयोक्ता-मोड रूटकिट रिंग (कंप्यूटर सुरक्षा) में चलते हैं, अन्य अनुप्रयोगों के साथ-साथ निम्न-स्तरीय सिस्टम प्रक्रियाओं के अतिरिक्त उपयोगकर्ता के रूप में।<ref name="McAfee2"/>एप्लिकेशन प्रोग्रामिंग इंटरफेस (एपीआई) के मानक व्यवहार को रोकने और संशोधित करने के लिए उनके पास कई संभावित इंस्टॉलेशन वैक्टर हैं। कुछ अन्य प्रक्रियाओं में [[गतिशील लिंकर]] लाइब्रेरी (जैसे डायनेमिक-लिंक लाइब्रेरी|.DLL फ़ाइल विंडोज़ पर, या .dylib फ़ाइल macOS पर) इंजेक्ट करते हैं, और इस तरह इसे स्पूफ करने के लिए किसी भी लक्ष्य प्रक्रिया के अंदर निष्पादित करने में सक्षम होते हैं; अन्य पर्याप्त विशेषाधिकारों के साथ लक्ष्य अनुप्रयोग की स्मृति को अधिलेखित कर देते हैं। इंजेक्शन तंत्र में सम्मलित हैं:<ref name="McAfee2"/>*विक्रेता द्वारा आपूर्ति किए गए एप्लिकेशन एक्सटेंशन का उपयोग। उदाहरण के लिए, [[विंडोज़ एक्सप्लोरर]] में सार्वजनिक इंटरफेस हैं जो तीसरे पक्ष को इसकी कार्यक्षमता बढ़ाने की अनुमति देते हैं।
 * संदेश पारित करने का अवरोधन।
 * डिबगर्स।
 * भेद्यता का शोषण (कंप्यूटिंग)।
-* आमतौर पर उपयोग किए जाने वाले एपीआई के फंक्शन हुकिंग या पैचिंग, उदाहरण के लिए, एक फाइल सिस्टम पर चलने वाली प्रक्रिया या फाइल को छिपाने के लिए।<ref>{{cite journal
+* सामान्यतः उपयोग किए जाने वाले एपीआई के फंक्शन हुकिंग या पैचिंग, उदाहरण के लिए, एक फाइल सिस्टम पर चलने वाली प्रक्रिया या फाइल को छिपाने के लिए।<ref>{{cite journal
   | journal=[[Phrack]]
   | url=http://www.phrack.org/issues.html?issue=62&id=12
@@ Line 217: / Line 217: @@
 === कर्नेल मोड ===
-कर्नेल-मोड रूटकिट उच्चतम ऑपरेटिंग सिस्टम विशेषाधिकारों (रिंग (कंप्यूटर सुरक्षा)) के साथ कोड जोड़कर या कर्नेल (कंप्यूटर विज्ञान) और संबंधित डिवाइस ड्राइवर दोनों सहित कोर ऑपरेटिंग सिस्टम के भागों को बदलकर चलते हैं।{{citation needed|date=July 2021}} अधिकांश ऑपरेटिंग सिस्टम कर्नेल-मोड डिवाइस ड्राइवरों का समर्थन करते हैं, जो ऑपरेटिंग सिस्टम के समान विशेषाधिकारों के साथ निष्पादित होते हैं। जैसे, कई कर्नेल-मोड रूटकिट डिवाइस ड्राइवर या लोड करने योग्य मॉड्यूल के रूप में विकसित किए जाते हैं, जैसे [[लिनक्स]] में [[मॉड्यूल (लिनक्स)]] या [[माइक्रोसॉफ़्ट विंडोज़]] में डिवाइस ड्राइवर। रूटकिट के इस वर्ग के पास अप्रतिबंधित सुरक्षा पहुंच है, लेकिन लिखना अधिक कठिन है।<ref name="UAMT"/>जटिलता बग को सामान्य बनाती है, और कर्नेल स्तर पर संचालन करने वाले कोड में कोई भी बग सिस्टम स्थिरता को गंभीर रूप से प्रभावित कर सकता है, जिससे रूटकिट की खोज हो सकती है।<ref name="UAMT"/>पहले व्यापक रूप से ज्ञात कर्नेल रूटकिट्स में से एक को विंडोज एनटी 4.0 के लिए विकसित किया गया था और 1999 में ग्रेग होगलंड द्वारा [[फ्रैक]] पत्रिका में जारी किया गया था।<ref>{{cite journal
+कर्नेल-मोड रूटकिट उच्चतम ऑपरेटिंग सिस्टम विशेषाधिकारों (रिंग (कंप्यूटर सुरक्षा)) के साथ कोड जोड़कर या कर्नेल (कंप्यूटर विज्ञान) और संबंधित डिवाइस ड्राइवर दोनों सहित कोर ऑपरेटिंग सिस्टम के भागों को बदलकर चलते हैं।{{citation needed|date=July 2021}} अधिकांश ऑपरेटिंग सिस्टम कर्नेल-मोड डिवाइस ड्राइवरों का समर्थन करते हैं, जो ऑपरेटिंग सिस्टम के समान विशेषाधिकारों के साथ निष्पादित होते हैं। जैसे, कई कर्नेल-मोड रूटकिट डिवाइस ड्राइवर या लोड करने योग्य मॉड्यूल के रूप में विकसित किए जाते हैं, जैसे [[लिनक्स]] में [[मॉड्यूल (लिनक्स)]] या [[माइक्रोसॉफ़्ट विंडोज़]] में डिवाइस ड्राइवर। रूटकिट के इस वर्ग के पास अप्रतिबंधित सुरक्षा पहुंच है, परंतु लिखना अधिक कठिन है।<ref name="UAMT"/>जटिलता बग को सामान्य बनाती है, और कर्नेल स्तर पर संचालन करने वाले कोड में कोई भी बग सिस्टम स्थिरता को गंभीर रूप से प्रभावित कर सकता है, जिससे रूटकिट की खोज हो सकती है।<ref name="UAMT"/>पहले व्यापक रूप से ज्ञात कर्नेल रूटकिट्स में से एक को विंडोज एनटी 4.0 के लिए विकसित किया गया था और 1999 में ग्रेग होगलंड द्वारा [[फ्रैक]] पत्रिका में जारी किया गया था।<ref>{{cite journal
   | journal=[[Phrack]]
   | title=ए * रियल * एनटी रूटकिट, एनटी कर्नेल को पैच करना| first=Greg
@@ Line 274: / Line 274: @@
   | publisher=[[Webroot Software]]
   | author=Marco Giuliani
-  }}</ref> ऑपरेटिंग सिस्टम कर्नेल-मोड रूटकिट्स के खतरे का मुकाबला करने के लिए विकसित हो रहे हैं। उदाहरण के लिए, माइक्रोसॉफ्ट विंडोज के 64-बिट संस्करण अब सभी कर्नेल-स्तरीय ड्राइवरों के अनिवार्य हस्ताक्षर को लागू करते हैं ताकि अविश्वसनीय कोड को सिस्टम में उच्चतम विशेषाधिकारों के साथ निष्पादित करना अधिक कठिन हो सके।<ref>{{cite web
+  }}</ref> ऑपरेटिंग सिस्टम कर्नेल-मोड रूटकिट्स के खतरे का मुकाबला करने के लिए विकसित हो रहे हैं। उदाहरण के लिए, माइक्रोसॉफ्ट विंडोज के 64-बिट संस्करण अब सभी कर्नेल-स्तरीय ड्राइवरों के अनिवार्य हस्ताक्षर को लागू करते हैं जिससे अविश्वसनीय कोड को सिस्टम में उच्चतम विशेषाधिकारों के साथ निष्पादित करना अधिक कठिन हो सके।<ref>{{cite web
   | url=http://www.microsoft.com/whdc/winlogo/drvsign/drvsign.mspx
   | title=विंडोज के लिए ड्राइवर साइनिंग आवश्यकताएँ| publisher=[[Microsoft]]
@@ Line 282: / Line 282: @@
 ===={{anchor|bootkit}}बूटकिट्स ====
-कर्नेल-मोड रूटकिट वेरिएंट जिसे बूटकिट कहा जाता है, [[मास्टर बूट दस्तावेज़]] (एमबीआर), [[वॉल्यूम बूट रिकॉर्ड]] (वीबीआर), या बूट सेक्टर जैसे स्टार्टअप कोड को संक्रमित कर सकता है, और इस तरह [[पूर्ण डिस्क एन्क्रिप्शन]] सिस्टम पर हमला करने के लिए इस्तेमाल किया जा सकता है।<ref>{{cite web|url=https://arstechnica.com/gadgets/2020/07/red-hat-and-centos-systems-arent-booting-due-to-boothole-patches/|title=बूटहोल पैच के कारण Red Hat और CentOS सिस्टम बूट नहीं हो रहे हैं|last=Salter|first=Jim|website=[[Ars Technica]]|date=July 31, 2020|access-date=July 24, 2021}}</ref>
+कर्नेल-मोड रूटकिट वेरिएंट जिसे बूटकिट कहा जाता है, [[मास्टर बूट दस्तावेज़]] (एमबीआर), [[वॉल्यूम बूट रिकॉर्ड]] (वीबीआर), या बूट सेक्टर जैसे स्टार्टअप कोड को संक्रमित कर सकता है, और इस तरह [[पूर्ण डिस्क एन्क्रिप्शन]] सिस्टम पर हमला करने के लिए प्रयुक्त किया जा सकता है।<ref>{{cite web|url=https://arstechnica.com/gadgets/2020/07/red-hat-and-centos-systems-arent-booting-due-to-boothole-patches/|title=बूटहोल पैच के कारण Red Hat और CentOS सिस्टम बूट नहीं हो रहे हैं|last=Salter|first=Jim|website=[[Ars Technica]]|date=July 31, 2020|access-date=July 24, 2021}}</ref>
 डिस्क एन्क्रिप्शन पर इस तरह के हमले का एक उदाहरण दुष्ट नौकरानी का हमला है, जिसमें एक हमलावर एक उपेक्षित कंप्यूटर पर बूटकिट स्थापित करता है। परिकल्पित परिदृश्य होटल के उस कमरे में घुसने वाली एक नौकरानी है जहाँ पीड़ितों ने अपना हार्डवेयर छोड़ा था।<ref>{{cite web
   | url=http://www.schneier.com/blog/archives/2009/10/evil_maid_attac.html
@@ Line 290: / Line 290: @@
   | title=एन्क्रिप्टेड हार्ड ड्राइव पर 'ईविल मेड' अटैक| date=2009-10-23
   | access-date=2009-11-07
-}}</ref> बूटकिट उनके नियंत्रण में वैध [[बूटिंग]] को बदल देता है। आमतौर पर मैलवेयर लोडर सुरक्षित मोड में संक्रमण के माध्यम से बना रहता है जब कर्नेल लोड हो जाता है, और इस प्रकार कर्नेल को नष्ट करने में सक्षम होता है।<ref>{{cite web
+}}</ref> बूटकिट उनके नियंत्रण में वैध [[बूटिंग]] को बदल देता है। सामान्यतः मैलवेयर लोडर सुरक्षित मोड में संक्रमण के माध्यम से बना रहता है जब कर्नेल लोड हो जाता है, और इस प्रकार कर्नेल को नष्ट करने में सक्षम होता है।<ref>{{cite web
   | url=http://www.eeye.com/Resources/Security-Center/Research/Tools/BootRoot
   | title=चुकंदर| publisher=eEye Digital Security
@@ Line 335: / Line 335: @@
   | last=Goodin
   | first=Dan
-}}</ref> यद्यपि उपयोगकर्ता कुछ ऐसा करने के अर्थ में मैलवेयर नहीं है जो उपयोगकर्ता नहीं चाहता है, कुछ विस्टा लोडर या विंडोज लोडर सॉफ़्टवेयर रैम-कैश संस्करण में एक उन्नत कॉन्फ़िगरेशन और पावर इंटरफेस एसएलआईसी (सिस्टम लाइसेंस प्राप्त आंतरिक कोड) तालिका को इंजेक्ट करके समान तरीके से काम करते हैं। Microsoft उत्पाद सक्रियण को विफल करने के लिए बूट के दौरान BIOS का।{{citation needed|date=July 2021}} हमले के इस वेक्टर को [[विंडोज 8]] के (गैर-सर्वर) संस्करणों में बेकार कर दिया गया था, जो प्रत्येक सिस्टम के लिए एक अद्वितीय, मशीन-विशिष्ट कुंजी का उपयोग करते हैं, जिसका उपयोग केवल उस एक मशीन द्वारा किया जा सकता है।<ref>{{Cite web|url=https://www.theregister.com/2012/08/03/windows_oem_activation_30/|title=माइक्रोसॉफ्ट ने ओईएम विंडोज 8 लाइसेंसिंग पर पकड़ मजबूत की|first=Neil McAllister in San|last=Francisco|website=www.theregister.com}}</ref> कई एंटीवायरस कंपनियां बूटकिट्स को हटाने के लिए मुफ्त उपयोगिताओं और प्रोग्राम प्रदान करती हैं।
+}}</ref> यद्यपि उपयोगकर्ता कुछ ऐसा करने के अर्थ में मैलवेयर नहीं है जो उपयोगकर्ता नहीं चाहता है, कुछ विस्टा लोडर या विंडोज लोडर सॉफ़्टवेयर रैम-कैश संस्करण में एक उन्नत कॉन्फ़िगरेशन और पावर इंटरफेस एसएलआईसी (सिस्टम लाइसेंस प्राप्त आंतरिक कोड) तालिका को इंजेक्ट करके समान विधि से काम करते हैं। Microsoft उत्पाद सक्रियण को विफल करने के लिए बूट के दौरान BIOS का।{{citation needed|date=July 2021}} हमले के इस वेक्टर को [[विंडोज 8]] के (गैर-सर्वर) संस्करणों में बेकार कर दिया गया था, जो प्रत्येक सिस्टम के लिए एक अद्वितीय, मशीन-विशिष्ट कुंजी का उपयोग करते हैं, जिसका उपयोग मात्र उस एक मशीन द्वारा किया जा सकता है।<ref>{{Cite web|url=https://www.theregister.com/2012/08/03/windows_oem_activation_30/|title=माइक्रोसॉफ्ट ने ओईएम विंडोज 8 लाइसेंसिंग पर पकड़ मजबूत की|first=Neil McAllister in San|last=Francisco|website=www.theregister.com}}</ref> कई एंटीवायरस कंपनियां बूटकिट्स को हटाने के लिए मुफ्त उपयोगिताओं और प्रोग्राम प्रदान करती हैं।
 === [[सूत्र]] स्तर ===
@@ Line 346: / Line 346: @@
   | date = 2007-08-07
   | id = [[CiteSeerX]]: {{url|1=citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.90.8832|2=10.1.1.90.8832}}
-}}</ref> सामान्य हाइपरविजर के विपरीत, उन्हें ऑपरेटिंग सिस्टम से पहले लोड नहीं करना पड़ता है, लेकिन वर्चुअल मशीन में इसे बढ़ावा देने से पहले ऑपरेटिंग सिस्टम में लोड कर सकते हैं।<ref name="Harris"/>एक हाइपरविजर रूटकिट को लक्ष्य को हटाने के लिए लक्ष्य के कर्नेल में कोई संशोधन नहीं करना पड़ता है; हालाँकि, इसका मतलब यह नहीं है कि अतिथि ऑपरेटिंग सिस्टम द्वारा इसका पता नहीं लगाया जा सकता है। उदाहरण के लिए, केंद्रीय प्रसंस्करण इकाई के निर्देशों में समय के अंतर का पता लगाया जा सकता है।<ref name="Harris"/>[[Microsoft]] और मिशिगन विश्वविद्यालय के शोधकर्ताओं द्वारा संयुक्त रूप से विकसित SubVirt प्रयोगशाला रूटकिट, वर्चुअल-मशीन-आधारित रूटकिट (VMBR) का एक अकादमिक उदाहरण है,<ref>{{cite conference
+}}</ref> सामान्य हाइपरविजर के विपरीत, उन्हें ऑपरेटिंग सिस्टम से पहले लोड नहीं करना पड़ता है, परंतु वर्चुअल मशीन में इसे बढ़ावा देने से पहले ऑपरेटिंग सिस्टम में लोड कर सकते हैं।<ref name="Harris"/>एक हाइपरविजर रूटकिट को लक्ष्य को हटाने के लिए लक्ष्य के कर्नेल में कोई संशोधन नहीं करना पड़ता है; चूंकि, इसका मतलब यह नहीं है कि अतिथि ऑपरेटिंग सिस्टम द्वारा इसका पता नहीं लगाया जा सकता है। उदाहरण के लिए, केंद्रीय प्रसंस्करण इकाई के निर्देशों में समय के अंतर का पता लगाया जा सकता है।<ref name="Harris"/>[[Microsoft]] और मिशिगन विश्वविद्यालय के शोधकर्ताओं द्वारा संयुक्त रूप से विकसित SubVirt प्रयोगशाला रूटकिट, वर्चुअल-मशीन-आधारित रूटकिट (VMBR) का एक अकादमिक उदाहरण है,<ref>{{cite conference
   | url=http://www.eecs.umich.edu/virtual/papers/king06.pdf
   | access-date=2008-09-15
@@ Line 405: / Line 405: @@
   | archive-url=https://web.archive.org/web/20120425194643/http://esec-lab.sogeti.com/dotclear/public/publications/10-hack.lu-nicreverse_slides.pdf
   | archive-date=2012-04-25
-  }}</ref> [[हार्ड डिस्क ड्राइव]], या सिस्टम [[BIOS]]।<ref name="McAfee2"/><ref name="blog.trendmicro.com">{{Cite web | url=http://blog.trendmicro.com/trendlabs-security-intelligence/hacking-team-uses-uefi-bios-rootkit-to-keep-rcs-9-agent-in-target-systems/ | title=हैकिंग टीम आरसीएस 9 एजेंट को टारगेट सिस्टम में रखने के लिए यूईएफआई BIOS रूटकिट का उपयोग करती है - TrendLabs Security Intelligence Blog| date=2015-07-13}}</ref> रूटकिट फर्मवेयर में छुपा रहता है, क्योंकि [[कोड अखंडता]] के लिए फर्मवेयर का आमतौर पर निरीक्षण नहीं किया जाता है। जॉन हेसमैन ने उन्नत कॉन्फ़िगरेशन और पावर इंटरफ़ेस फ़र्मवेयर रूटीन दोनों में फ़र्मवेयर रूटकिट की व्यवहार्यता का प्रदर्शन किया<ref>{{cite conference
+  }}</ref> [[हार्ड डिस्क ड्राइव]], या सिस्टम [[BIOS]]।<ref name="McAfee2"/><ref name="blog.trendmicro.com">{{Cite web | url=http://blog.trendmicro.com/trendlabs-security-intelligence/hacking-team-uses-uefi-bios-rootkit-to-keep-rcs-9-agent-in-target-systems/ | title=हैकिंग टीम आरसीएस 9 एजेंट को टारगेट सिस्टम में रखने के लिए यूईएफआई BIOS रूटकिट का उपयोग करती है - TrendLabs Security Intelligence Blog| date=2015-07-13}}</ref> रूटकिट फर्मवेयर में छुपा रहता है, क्योंकि [[कोड अखंडता]] के लिए फर्मवेयर का सामान्यतः निरीक्षण नहीं किया जाता है। जॉन हेसमैन ने उन्नत कॉन्फ़िगरेशन और पावर इंटरफ़ेस फ़र्मवेयर रूटीन दोनों में फ़र्मवेयर रूटकिट की व्यवहार्यता का प्रदर्शन किया<ref>{{cite conference
   | url = https://www.blackhat.com/presentations/bh-europe-06/bh-eu-06-Heasman.pdf
   | title = एसीपीआई BIOS रूटकिट का कार्यान्वयन और पता लगाना| first = John
@@ Line 458: / Line 458: @@
 }}</ref> कुछ महीनों बाद उन्हें पता चला कि कुछ लैपटॉप एक वैध रूटकिट के साथ बेचे जाते हैं, जिसे लैपटॉप के लिए एब्सोल्यूट [[कंप्यूट्रेस]] या एब्सोल्यूट लोजैक के रूप में जाना जाता है, जो कई BIOS छवियों में पहले से इंस्टॉल होता है। यह एक एंटी-[[लैपटॉप चोरी]] प्रौद्योगिकी प्रणाली है जिसे शोधकर्ताओं ने दिखाया है कि इसे दुर्भावनापूर्ण उद्देश्यों में बदल दिया जा सकता है।<ref name="Ortega" />
-Intel सक्रिय प्रबंधन प्रौद्योगिकी, Intel vPro #Remote प्रबंधन का हिस्सा है, आउट-ऑफ़-बैंड प्रबंधन लागू करता है, प्रशासकों को [[दूरस्थ प्रशासन]], [[दूरस्थ अवसंरचना प्रबंधन]], और होस्ट प्रोसेसर या BIOS की भागीदारी के बिना पीसी के [[रिमोट डेस्कटॉप सॉफ्टवेयर]] देता है, तब भी जब सिस्टम बंद है। रिमोट प्रशासन में रिमोट पावर-अप और पावर-डाउन, रिमोट रीसेट, रीडायरेक्ट बूट, कंसोल रीडायरेक्शन, BIOS सेटिंग्स के लिए प्री-बूट एक्सेस, इनबाउंड और आउटबाउंड नेटवर्क ट्रैफिक के लिए प्रोग्राम करने योग्य फ़िल्टरिंग, एजेंट उपस्थिति जांच, आउट-ऑफ-बैंड नीति-आधारित शामिल हैं। अलर्टिंग, सिस्टम की जानकारी तक पहुंच, जैसे कि हार्डवेयर संपत्ति की जानकारी, लगातार इवेंट लॉग, और अन्य जानकारी जो समर्पित मेमोरी (हार्ड ड्राइव पर नहीं) में संग्रहीत होती है, जहां ओएस के डाउन होने या पीसी के बंद होने पर भी इसे एक्सेस किया जा सकता है। इनमें से कुछ कार्यों के लिए रूटकिट के गहनतम स्तर की आवश्यकता होती है, मुख्य कंप्यूटर के चारों ओर निर्मित एक दूसरा गैर-हटाने योग्य स्पाई कंप्यूटर। सैंडी ब्रिज और भविष्य के [[चिपसेट]] में 3जी के माध्यम से खोए या चोरी हुए पीसी को दूरस्थ रूप से खत्म करने और पुनर्स्थापित करने की क्षमता है। चिपसेट में निर्मित हार्डवेयर रूटकिट चोरी हुए कंप्यूटरों को पुनर्प्राप्त करने, डेटा को हटाने, या उन्हें बेकार करने में मदद कर सकते हैं, लेकिन वे प्रबंधन या हैकर्स द्वारा नियंत्रण प्राप्त करने वाले गुप्त जासूसी और पुनर्निर्देशन की गोपनीयता और सुरक्षा चिंताओं को भी प्रस्तुत करते हैं।
+Intel सक्रिय प्रबंधन प्रौद्योगिकी, Intel vPro #Remote प्रबंधन का हिस्सा है, आउट-ऑफ़-बैंड प्रबंधन लागू करता है, प्रशासकों को [[दूरस्थ प्रशासन]], [[दूरस्थ अवसंरचना प्रबंधन]], और होस्ट प्रोसेसर या BIOS की भागीदारी के बिना पीसी के [[रिमोट डेस्कटॉप सॉफ्टवेयर]] देता है, तब भी जब सिस्टम बंद है। रिमोट प्रशासन में रिमोट पावर-अप और पावर-डाउन, रिमोट रीसेट, रीडायरेक्ट बूट, कंसोल रीडायरेक्शन, BIOS सेटिंग्स के लिए प्री-बूट एक्सेस, इनबाउंड और आउटबाउंड नेटवर्क ट्रैफिक के लिए प्रोग्राम करने योग्य फ़िल्टरिंग, एजेंट उपस्थिति जांच, आउट-ऑफ-बैंड नीति-आधारित सम्मलित हैं। अलर्टिंग, सिस्टम की जानकारी तक पहुंच, जैसे कि हार्डवेयर संपत्ति की जानकारी, लगातार इवेंट लॉग, और अन्य जानकारी जो समर्पित मेमोरी (हार्ड ड्राइव पर नहीं) में संग्रहीत होती है, जहां ओएस के डाउन होने या पीसी के बंद होने पर भी इसे एक्सेस किया जा सकता है। इनमें से कुछ कार्यों के लिए रूटकिट के गहनतम स्तर की आवश्यकता होती है, मुख्य कंप्यूटर के चारों ओर निर्मित एक दूसरा गैर-हटाने योग्य स्पाई कंप्यूटर। सैंडी ब्रिज और भविष्य के [[चिपसेट]] में 3जी के माध्यम से खोए या चोरी हुए पीसी को दूरस्थ रूप से खत्म करने और पुनर्स्थापित करने की क्षमता है। चिपसेट में निर्मित हार्डवेयर रूटकिट चोरी हुए कंप्यूटरों को पुनर्प्राप्त करने, डेटा को हटाने, या उन्हें बेकार करने में मदद कर सकते हैं, परंतु वे प्रबंधन या हैकर्स द्वारा नियंत्रण प्राप्त करने वाले गुप्त जासूसी और पुनर्निर्देशन की गोपनीयता और सुरक्षा चिंताओं को भी प्रस्तुत करते हैं।
 == स्थापना और क्लोकिंग ==
-रूटकिट्स सिस्टम पर नियंत्रण हासिल करने के लिए कई तरह की तकनीकों का इस्तेमाल करते हैं; रूटकिट का प्रकार अटैक वेक्टर की पसंद को प्रभावित करता है। गुप्त विशेषाधिकार वृद्धि को प्राप्त करने के लिए सबसे आम तकनीक भेद्यता (कंप्यूटिंग) का लाभ उठाती है। एक अन्य दृष्टिकोण एक [[ट्रोजन हॉर्स (कंप्यूटिंग)]] का उपयोग करना है, एक कंप्यूटर उपयोगकर्ता को रूटकिट के इंस्टॉलेशन प्रोग्राम को सौम्य मानने के लिए धोखा देना है - इस मामले में, सोशल इंजीनियरिंग (सुरक्षा) एक उपयोगकर्ता को आश्वस्त करती है कि रूटकिट फायदेमंद है।<ref name="UAMT"/>यदि [[कम से कम विशेषाधिकार का सिद्धांत]] लागू नहीं किया जाता है, तो स्थापना कार्य आसान हो जाता है, क्योंकि रूटकिट को तब स्पष्ट रूप से उन्नत (व्यवस्थापक-स्तर) विशेषाधिकारों का अनुरोध नहीं करना पड़ता है। रूटकिट के अन्य वर्ग केवल लक्ष्य प्रणाली तक भौतिक पहुंच वाले किसी व्यक्ति द्वारा स्थापित किए जा सकते हैं। कुछ रूटकिट जानबूझकर सिस्टम के मालिक या मालिक द्वारा अधिकृत किसी व्यक्ति द्वारा भी स्थापित किए जा सकते हैं, उदा। [[कर्मचारी निगरानी]] के प्रयोजन के लिए, ऐसी विध्वंसक तकनीकों को अनावश्यक रूप से प्रतिपादित करना।<ref>{{cite book
+रूटकिट्स सिस्टम पर नियंत्रण हासिल करने के लिए कई तरह की तकनीकों का प्रयुक्त करते हैं; रूटकिट का प्रकार अटैक वेक्टर की पसंद को प्रभावित करता है। गुप्त विशेषाधिकार वृद्धि को प्राप्त करने के लिए सबसे आम तकनीक भेद्यता (कंप्यूटिंग) का लाभ उठाती है। एक अन्य दृष्टिकोण एक [[ट्रोजन हॉर्स (कंप्यूटिंग)]] का उपयोग करना है, एक कंप्यूटर उपयोगकर्ता को रूटकिट के इंस्टॉलेशन प्रोग्राम को सौम्य मानने के लिए धोखा देना है - इस मामले में, सोशल इंजीनियरिंग (सुरक्षा) एक उपयोगकर्ता को आश्वस्त करती है कि रूटकिट फायदेमंद है।<ref name="UAMT"/>यदि [[कम से कम विशेषाधिकार का सिद्धांत]] लागू नहीं किया जाता है, तो स्थापना कार्य आसान हो जाता है, क्योंकि रूटकिट को तब स्पष्ट रूप से उन्नत (व्यवस्थापक-स्तर) विशेषाधिकारों का अनुरोध नहीं करना पड़ता है। रूटकिट के अन्य वर्ग मात्र लक्ष्य प्रणाली तक भौतिक पहुंच वाले किसी व्यक्ति द्वारा स्थापित किए जा सकते हैं। कुछ रूटकिट जानबूझकर सिस्टम के मालिक या मालिक द्वारा अधिकृत किसी व्यक्ति द्वारा भी स्थापित किए जा सकते हैं, उदा। [[कर्मचारी निगरानी]] के प्रयोजन के लिए, ऐसी विध्वंसक तकनीकों को अनावश्यक रूप से प्रतिपादित करना।<ref>{{cite book
   | title=पेशेवर रूटकिट्स| author=Ric Vieler
   | publisher=John Wiley & Sons
@@ Line 496: / Line 496: @@
   |archive-date = 2015-07-29
 }}</ref>
-एक बार इंस्टॉल हो जाने के बाद, रूटकिट निदान, स्कैनिंग और निगरानी के लिए उपयोग किए जाने वाले मानक ऑपरेटिंग सिस्टम [[कंप्यूटर सुरक्षा]] उपकरण और [[अप्लिकेशन प्रोग्रामिंग अंतरफलक]] (एपीआई) के विचलन या चोरी के माध्यम से मेजबान सिस्टम के भीतर अपनी उपस्थिति को अस्पष्ट करने के लिए सक्रिय उपाय करता है।<ref>{{cite web|url=https://www.bleepingcomputer.com/news/security/new-moriya-rootkit-used-in-the-wild-to-backdoor-windows-systems/|title=नई मोरिया रूटकिट जंगली से पिछले दरवाजे विंडोज सिस्टम में उपयोग की जाती है|last=Gatlan|first=Sergiu|website=[[Bleeping Computer]]|date=May 6, 2021|access-date=July 24, 2021}}</ref> रूटकिट्स रिंग (कंप्यूटर सुरक्षा) के व्यवहार को अन्य प्रक्रियाओं में लोडिंग कोड, डिवाइस ड्राइवर की स्थापना या संशोधन, या [[लोड करने योग्य कर्नेल मॉड्यूल]] के माध्यम से संशोधित करके इसे प्राप्त करते हैं। अस्पष्टीकरण तकनीकों में सिस्टम-निगरानी तंत्र से चल रही प्रक्रियाओं को छुपाना और सिस्टम फ़ाइलों और अन्य कॉन्फ़िगरेशन डेटा को छुपाना शामिल है।<ref>{{cite web
+एक बार इंस्टॉल हो जाने के बाद, रूटकिट निदान, स्कैनिंग और निगरानी के लिए उपयोग किए जाने वाले मानक ऑपरेटिंग सिस्टम [[कंप्यूटर सुरक्षा]] उपकरण और [[अप्लिकेशन प्रोग्रामिंग अंतरफलक]] (एपीआई) के विचलन या चोरी के माध्यम से मेजबान सिस्टम के अंतर्गत अपनी उपस्थिति को अस्पष्ट करने के लिए सक्रिय उपाय करता है।<ref>{{cite web|url=https://www.bleepingcomputer.com/news/security/new-moriya-rootkit-used-in-the-wild-to-backdoor-windows-systems/|title=नई मोरिया रूटकिट जंगली से पिछले दरवाजे विंडोज सिस्टम में उपयोग की जाती है|last=Gatlan|first=Sergiu|website=[[Bleeping Computer]]|date=May 6, 2021|access-date=July 24, 2021}}</ref> रूटकिट्स रिंग (कंप्यूटर सुरक्षा) के व्यवहार को अन्य प्रक्रियाओं में लोडिंग कोड, डिवाइस ड्राइवर की स्थापना या संशोधन, या [[लोड करने योग्य कर्नेल मॉड्यूल]] के माध्यम से संशोधित करके इसे प्राप्त करते हैं। अस्पष्टीकरण तकनीकों में सिस्टम-निगरानी तंत्र से चल रही प्रक्रियाओं को छुपाना और सिस्टम फ़ाइलों और अन्य कॉन्फ़िगरेशन डेटा को छुपाना सम्मलित है।<ref>{{cite web
   | url=http://www.usenix.org/publications/login/1999-9/features/rootkits.html
   | title=अदृश्य घुसपैठिए: अभ्यास में रूटकिट| date=1999-11-16
@@ Line 503: / Line 503: @@
   | work = USENIX
   | publisher=[[USENIX]]
-}}</ref> किसी हमले के साक्ष्य को छिपाने के प्रयास में, रूटकिट के लिए ऑपरेटिंग सिस्टम की [[इवेंट लोग]]िंग क्षमता को अक्षम करना असामान्य नहीं है। रूटकिट्स, सिद्धांत रूप में, किसी भी ऑपरेटिंग सिस्टम की गतिविधियों को उलट सकते हैं।<ref name="MIT"/>संपूर्ण रूटकिट को एक संपूर्ण अपराध के समान माना जा सकता है: ऐसा अपराध जिसे किसी को पता ही नहीं चलता है। रूटकिट्स आमतौर पर रिंग 0 (कर्नेल-मोड) में स्थापित करने के अलावा एंटीवायरस सॉफ़्टवेयर द्वारा पता लगाने और सफाई के खिलाफ अपने अस्तित्व को सुनिश्चित करने के लिए कई उपाय भी करते हैं, जहां उनके पास सिस्टम तक पूरी पहुंच होती है। इनमें [[बहुरूपी कोड]] शामिल हैं (बदलना ताकि उनके हस्ताक्षर का पता लगाना मुश्किल हो), चुपके तकनीक, पुनर्जनन, एंटी-मैलवेयर सॉफ़्टवेयर को अक्षम या बंद करना,<ref name="trlokom">{{Cite web
+}}</ref> किसी हमले के साक्ष्य को छिपाने के प्रयास में, रूटकिट के लिए ऑपरेटिंग सिस्टम की [[इवेंट लोग]]िंग क्षमता को अक्षम करना असामान्य नहीं है। रूटकिट्स, सिद्धांत रूप में, किसी भी ऑपरेटिंग सिस्टम की गतिविधियों को उलट सकते हैं।<ref name="MIT"/>संपूर्ण रूटकिट को एक संपूर्ण अपराध के समान माना जा सकता है: ऐसा अपराध जिसे किसी को पता ही नहीं चलता है। रूटकिट्स सामान्यतः रिंग 0 (कर्नेल-मोड) में स्थापित करने के अतिरिक्त एंटीवायरस सॉफ़्टवेयर द्वारा पता लगाने और सफाई के खिलाफ अपने अस्तित्व को सुनिश्चित करने के लिए कई उपाय भी करते हैं, जहां उनके पास सिस्टम तक पूरी पहुंच होती है। इनमें [[बहुरूपी कोड]] सम्मलित हैं (बदलना जिससे उनके हस्ताक्षर का पता लगाना मुश्किल हो), चुपके तकनीक, पुनर्जनन, एंटी-मैलवेयर सॉफ़्टवेयर को अक्षम या बंद करना,<ref name="trlokom">{{Cite web
   |url         = http://www.trlokom.com/pdf/TrlokomRootkitDefenseWhitePaper.pdf
   |title       = Defeating Rootkits and Keyloggers
@@ Line 529: / Line 529: @@
   | first3=Aaron
   | location=New York
-  }}</ref> चल रही प्रक्रियाओं की सूची, या निर्देशिका में फ़ाइलों की सूची का अनुरोध करने जैसी कार्रवाइयों पर अपेक्षा के अनुरूप व्यवहार करने के लिए भरोसा नहीं किया जा सकता है। दूसरे शब्दों में, रूटकिट डिटेक्टर जो संक्रमित सिस्टम पर चलते समय काम करते हैं, केवल रूटकिट के खिलाफ प्रभावी होते हैं जिनके छलावरण में कुछ दोष होते हैं, या जो कर्नेल में डिटेक्शन सॉफ़्टवेयर की तुलना में कम उपयोगकर्ता-मोड विशेषाधिकारों के साथ चलते हैं।<ref name="UAMT">{{cite web
+  }}</ref> चल रही प्रक्रियाओं की सूची, या निर्देशिका में फ़ाइलों की सूची का अनुरोध करने जैसी कार्रवाइयों पर अपेक्षा के अनुरूप व्यवहार करने के लिए भरोसा नहीं किया जा सकता है। दूसरे शब्दों में, रूटकिट डिटेक्टर जो संक्रमित सिस्टम पर चलते समय काम करते हैं, मात्र रूटकिट के खिलाफ प्रभावी होते हैं जिनके छलावरण में कुछ दोष होते हैं, या जो कर्नेल में डिटेक्शन सॉफ़्टवेयर की तुलना में कम उपयोगकर्ता-मोड विशेषाधिकारों के साथ चलते हैं।<ref name="UAMT">{{cite web
   |url         = http://download.microsoft.com/download/a/b/e/abefdf1c-96bd-40d6-a138-e320b6b25bd3/understandingantimalwaretechnologies.pdf
   |title       = Understanding Anti-Malware Technologies
@@ Line 538: / Line 538: @@
   |archive-url  = https://web.archive.org/web/20100911033147/http://download.microsoft.com/download/a/b/e/abefdf1c-96bd-40d6-a138-e320b6b25bd3/understandingantimalwaretechnologies.pdf
   |archive-date = 2010-09-11
-}}</ref> कंप्यूटर वायरस की तरह, रूटकिट का पता लगाना और हटाना इस संघर्ष के दोनों पक्षों के बीच एक सतत संघर्ष है।<ref name="MIT"/>डिटेक्शन कई अलग-अलग दृष्टिकोण अपना सकता है, जिसमें वायरस सिग्नेचर (जैसे एंटीवायरस सॉफ़्टवेयर), इंटीग्रिटी चेकिंग (जैसे [[अंगुली का हस्ताक्षर]]), अंतर-आधारित डिटेक्शन (अपेक्षित बनाम वास्तविक परिणामों की तुलना), और व्यवहारिक डिटेक्शन (जैसे मॉनिटरिंग CPU उपयोग) शामिल हैं। या नेटवर्क ट्रैफ़िक)।
+}}</ref> कंप्यूटर वायरस की तरह, रूटकिट का पता लगाना और हटाना इस संघर्ष के दोनों पक्षों के बीच एक सतत संघर्ष है।<ref name="MIT"/>डिटेक्शन कई अलग-अलग दृष्टिकोण अपना सकता है, जिसमें वायरस सिग्नेचर (जैसे एंटीवायरस सॉफ़्टवेयर), इंटीग्रिटी चेकिंग (जैसे [[अंगुली का हस्ताक्षर]]), अंतर-आधारित डिटेक्शन (अपेक्षित बनाम वास्तविक परिणामों की तुलना), और व्यवहारिक डिटेक्शन (जैसे मॉनिटरिंग CPU उपयोग) सम्मलित हैं। या नेटवर्क ट्रैफ़िक)।
 कर्नेल-मोड रूटकिट्स के लिए, पता लगाना काफी अधिक जटिल है, हुकिंग की तलाश के लिए सिस्टम कॉल टेबल की सावधानीपूर्वक जांच की आवश्यकता होती है जहां मैलवेयर सिस्टम व्यवहार को नष्ट कर सकता है,<ref>{{cite web
@@ Line 549: / Line 549: @@
   |archive-url=https://web.archive.org/web/20120910164327/http://www.sans.org/reading_room/whitepapers/threats/kernel-rootkits_449
   |archive-date=September 10, 2012
-}}</ref> साथ ही छिपी हुई प्रक्रियाओं को इंगित करने वाले पैटर्न के लिए मेमोरी की [[फोरेंसिक]] स्कैनिंग। यूनिक्स रूटकिट डिटेक्शन प्रसाद में ज़ेप्पू शामिल हैं,<ref>{{cite web
+}}</ref> साथ ही छिपी हुई प्रक्रियाओं को इंगित करने वाले पैटर्न के लिए मेमोरी की [[फोरेंसिक]] स्कैनिंग। यूनिक्स रूटकिट डिटेक्शन प्रसाद में ज़ेप्पू सम्मलित हैं,<ref>{{cite web
   | url=http://sourceforge.net/projects/zeppoo/
   | title=ज़ेप्पू| access-date=8 August 2011
   | publisher=[[SourceForge]]
   | date=18 July 2009
-}}</ref> [[chkrootkit]], [[rkhunter]] और [[OSSEC]]। विंडोज के लिए, डिटेक्शन टूल में Microsoft Sysinternals RootkitRevealer शामिल है,<ref>{{cite web
+}}</ref> [[chkrootkit]], [[rkhunter]] और [[OSSEC]]। विंडोज के लिए, डिटेक्शन टूल में Microsoft Sysinternals RootkitRevealer सम्मलित है,<ref>{{cite web
   | url=https://technet.microsoft.com/en-us/sysinternals/bb897445.aspx
   | publisher=[[Microsoft]]
@@ Line 581: / Line 581: @@
   | url=http://www.gmer.net/
   | title=जीएमईआर| access-date=8 August 2011
-}}</ref> और [[विंडोज़स्कोप]]। कोई भी रूटकिट डिटेक्टर जो प्रभावी साबित होता है, अंततः अपनी खुद की अप्रभावीता में योगदान देता है, क्योंकि मैलवेयर लेखक अच्छी तरह से उपयोग किए जाने वाले टूल द्वारा पता लगाने से बचने के लिए अपने कोड को अनुकूलित और परीक्षण करते हैं।<ref group="Notes">The process name of Sysinternals RootkitRevealer was targeted by malware; in an attempt to counter this countermeasure, the tool now uses a randomly generated process name.</ref> संदिग्ध ऑपरेटिंग सिस्टम चालू नहीं होने पर भंडारण की जांच करके जांच सॉफ़्टवेयर द्वारा मान्यता प्राप्त रूटकिट को याद नहीं किया जा सकता है, क्योंकि रूटकिट सक्रिय नहीं है और संदिग्ध व्यवहार को दबा दिया गया है; रूटकिट ऑपरेशनल के साथ चलने वाला पारंपरिक एंटी-मैलवेयर सॉफ़्टवेयर विफल हो सकता है यदि रूटकिट खुद को प्रभावी ढंग से छुपाता है।
+}}</ref> और [[विंडोज़स्कोप]]। कोई भी रूटकिट डिटेक्टर जो प्रभावी सिद्ध होता है, अंततः अपनी स्वयं की अप्रभावीता में योगदान देता है, क्योंकि मैलवेयर लेखक अच्छी तरह से उपयोग किए जाने वाले टूल द्वारा पता लगाने से बचने के लिए अपने कोड को अनुकूलित और परीक्षण करते हैं।<ref group="Notes">The process name of Sysinternals RootkitRevealer was targeted by malware; in an attempt to counter this countermeasure, the tool now uses a randomly generated process name.</ref> संदिग्ध ऑपरेटिंग सिस्टम चालू नहीं होने पर भंडारण की जांच करके जांच सॉफ़्टवेयर द्वारा मान्यता प्राप्त रूटकिट को याद नहीं किया जा सकता है, क्योंकि रूटकिट सक्रिय नहीं है और संदिग्ध व्यवहार को दबा दिया गया है; रूटकिट ऑपरेशनल के साथ चलने वाला पारंपरिक एंटी-मैलवेयर सॉफ़्टवेयर विफल हो सकता है यदि रूटकिट स्वयं को प्रभावी ढंग से छुपाता है।
 === वैकल्पिक विश्वसनीय माध्यम ===
@@ Line 614: / Line 614: @@
 === हस्ताक्षर-आधारित ===
-एंटीवायरस उत्पाद सार्वजनिक परीक्षणों में शायद ही कभी सभी वायरस पकड़ते हैं (इस पर निर्भर करता है कि किसका उपयोग किया जाता है और किस हद तक), भले ही सुरक्षा सॉफ़्टवेयर विक्रेता अपने उत्पादों में रूटकिट डिटेक्शन शामिल करते हैं। यदि कोई रूटकिट एंटीवायरस स्कैन के दौरान छिपाने का प्रयास करता है, तो एक स्टील्थ डिटेक्टर नोटिस कर सकता है; यदि रूटकिट सिस्टम से खुद को अस्थायी रूप से अनलोड करने का प्रयास करता है, तो सिग्नेचर डिटेक्शन (या फ़िंगरप्रिंटिंग) अभी भी इसे ढूंढ सकता है।<ref>{{cite web|url=https://bestantivirus.com/blog/keyloggers.html|title=कीलॉगर्स के बारे में आपको क्या जानना चाहिए|last=Steinberg|first=Joseph|website=bestantivirus.com|date=June 9, 2021|access-date=July 24, 2021}}</ref> यह संयुक्त दृष्टिकोण हमलावरों को काउंटरटैक तंत्र, या रेट्रो रूटीन लागू करने के लिए मजबूर करता है, जो एंटीवायरस प्रोग्राम को समाप्त करने का प्रयास करता है। हस्ताक्षर-आधारित पता लगाने के तरीके अच्छी तरह से प्रकाशित रूटकिट के खिलाफ प्रभावी हो सकते हैं, लेकिन विशेष रूप से तैयार किए गए, कस्टम-रूट रूटकिट के खिलाफ कम।<ref name="MIT"/>
+एंटीवायरस उत्पाद सार्वजनिक परीक्षणों में प्रायः ही कभी सभी वायरस पकड़ते हैं (इस पर निर्भर करता है कि किसका उपयोग किया जाता है और किस हद तक), भले ही सुरक्षा सॉफ़्टवेयर विक्रेता अपने उत्पादों में रूटकिट डिटेक्शन सम्मलित करते हैं। यदि कोई रूटकिट एंटीवायरस स्कैन के दौरान छिपाने का प्रयास करता है, तो एक स्टील्थ डिटेक्टर नोटिस कर सकता है; यदि रूटकिट सिस्टम से स्वयं को अस्थायी रूप से अनलोड करने का प्रयास करता है, तो सिग्नेचर डिटेक्शन (या फ़िंगरप्रिंटिंग) अभी भी इसे ढूंढ सकता है।<ref>{{cite web|url=https://bestantivirus.com/blog/keyloggers.html|title=कीलॉगर्स के बारे में आपको क्या जानना चाहिए|last=Steinberg|first=Joseph|website=bestantivirus.com|date=June 9, 2021|access-date=July 24, 2021}}</ref> यह संयुक्त दृष्टिकोण हमलावरों को काउंटरटैक तंत्र, या रेट्रो रूटीन लागू करने के लिए मजबूर करता है, जो एंटीवायरस प्रोग्राम को समाप्त करने का प्रयास करता है। हस्ताक्षर-आधारित पता लगाने के विधि अच्छी तरह से प्रकाशित रूटकिट के खिलाफ प्रभावी हो सकते हैं, परंतु विशेष रूप से तैयार किए गए, कस्टम-रूट रूटकिट के खिलाफ कम।<ref name="MIT"/>
 === अंतर-आधारित ===
-एक अन्य विधि जो रूटकिट का पता लगा सकती है, विश्वसनीय कच्चे डेटा की तुलना [[एपीआई]] द्वारा लौटाई गई दूषित सामग्री से करती है। उदाहरण के लिए, डिस्क पर मौजूद बायनेरिज़ की तुलना [[ऑपरेटिंग मेमोरी]] के भीतर उनकी प्रतियों से की जा सकती है (कुछ ऑपरेटिंग सिस्टम में, इन-मेमोरी छवि ऑन-डिस्क छवि के समान होनी चाहिए), या [[फाइल सिस्टम]] या [[विंडोज रजिस्ट्री]] एपीआई से लौटाए गए परिणाम कर सकते हैं अंतर्निहित भौतिक डिस्क पर कच्ची संरचनाओं के विरुद्ध जाँच की जाए<ref name="MIT"/><ref>{{cite web
+एक अन्य विधि जो रूटकिट का पता लगा सकती है, विश्वसनीय कच्चे डेटा की तुलना [[एपीआई]] द्वारा लौटाई गई दूषित सामग्री से करती है। उदाहरण के लिए, डिस्क पर मौजूद बायनेरिज़ की तुलना [[ऑपरेटिंग मेमोरी]] के अंतर्गत उनकी प्रतियों से की जा सकती है (कुछ ऑपरेटिंग सिस्टम में, इन-मेमोरी छवि ऑन-डिस्क छवि के समान होनी चाहिए), या [[फाइल सिस्टम]] या [[विंडोज रजिस्ट्री]] एपीआई से लौटाए गए परिणाम कर सकते हैं अंतर्निहित भौतिक डिस्क पर कच्ची संरचनाओं के विरुद्ध जाँच की जाए<ref name="MIT"/><ref>{{cite web
   |url         = http://research.microsoft.com/en-us/um/redmond/projects/strider/rootkit/
   |publisher   = Microsoft Research
@@ Line 627: / Line 627: @@
   |archive-url  = https://archive.today/20120729/http://research.microsoft.com/en-us/um/redmond/projects/strider/rootkit/
   |archive-date = 2012-07-29
-}}</ref>- हालांकि, पूर्व के मामले में, ऑपरेटिंग सिस्टम तंत्र जैसे मेमोरी रिलोकेशन या [[शिम (कम्प्यूटिंग)]] द्वारा कुछ वैध अंतर पेश किए जा सकते हैं। एक रूटकिट इस तरह के अंतर-आधारित स्कैनर या वर्चुअल मशीन की उपस्थिति का पता लगा सकता है (बाद में आमतौर पर फोरेंसिक विश्लेषण करने के लिए उपयोग किया जाता है), और इसके व्यवहार को समायोजित कर सकता है ताकि कोई अंतर पता न चल सके। सोनी डीआरएम रूटकिट को खोजने के लिए [[रसिनोविच]] के रूटकिट रीवेलर टूल द्वारा अंतर-आधारित पहचान का उपयोग किया गया था।<ref name="McAfee1"/>
+}}</ref>- चूंकि, पूर्व के मामले में, ऑपरेटिंग सिस्टम तंत्र जैसे मेमोरी रिलोकेशन या [[शिम (कम्प्यूटिंग)]] द्वारा कुछ वैध अंतर पेश किए जा सकते हैं। एक रूटकिट इस तरह के अंतर-आधारित स्कैनर या वर्चुअल मशीन की उपस्थिति का पता लगा सकता है (बाद में सामान्यतः फोरेंसिक विश्लेषण करने के लिए उपयोग किया जाता है), और इसके व्यवहार को समायोजित कर सकता है जिससे कोई अंतर पता न चल सके। सोनी डीआरएम रूटकिट को खोजने के लिए [[रसिनोविच]] के रूटकिट रीवेलर टूल द्वारा अंतर-आधारित पहचान का उपयोग किया गया था।<ref name="McAfee1"/>
@@ Line 635: / Line 635: @@
   | title=ऑथेंटिकोड के साथ कोड पर हस्ताक्षर करना और जांचना| publisher=[[Microsoft]]
   | access-date=2008-09-15
-}}</ref> हालाँकि, अपरिष्कृत योजनाएँ केवल यह जाँचती हैं कि क्या कोड को स्थापना के समय से संशोधित किया गया है; उस समय से पहले तोड़फोड़ पता लगाने योग्य नहीं है। हर बार सिस्टम में परिवर्तन किए जाने पर फ़िंगरप्रिंट को फिर से स्थापित किया जाना चाहिए: उदाहरण के लिए, सुरक्षा अद्यतन या [[सर्विस पैक]] स्थापित करने के बाद। हैश फ़ंक्शन एक संदेश डाइजेस्ट बनाता है, एक एल्गोरिदम का उपयोग करके फ़ाइल में प्रत्येक बिट से अपेक्षाकृत कम कोड की गणना की जाती है जो मूल फ़ाइल में छोटे बदलावों के साथ संदेश डाइजेस्ट में बड़े बदलाव बनाता है। संदेश डाइजेस्ट की एक विश्वसनीय सूची के विरुद्ध नियमित अंतराल पर स्थापित फ़ाइलों के संदेश डाइजेस्ट की पुनर्गणना और तुलना करके, सिस्टम में परिवर्तन का पता लगाया जा सकता है और निगरानी की जा सकती है - जब तक कि मैलवेयर जोड़े जाने से पहले मूल आधार रेखा बनाई गई थी।
+}}</ref> चूंकि, अपरिष्कृत योजनाएँ मात्र यह जाँचती हैं कि क्या कोड को स्थापना के समय से संशोधित किया गया है; उस समय से पहले तोड़फोड़ पता लगाने योग्य नहीं है। हर बार सिस्टम में परिवर्तन किए जाने पर फ़िंगरप्रिंट को पुनः स्थापित किया जाना चाहिए: उदाहरण के लिए, सुरक्षा अद्यतन या [[सर्विस पैक]] स्थापित करने के बाद। हैश फ़ंक्शन एक संदेश डाइजेस्ट बनाता है, एक एल्गोरिदम का उपयोग करके फ़ाइल में प्रत्येक बिट से अपेक्षाकृत कम कोड की गणना की जाती है जो मूल फ़ाइल में छोटे बदलावों के साथ संदेश डाइजेस्ट में बड़े बदलाव बनाता है। संदेश डाइजेस्ट की एक विश्वसनीय सूची के विरुद्ध नियमित अंतराल पर स्थापित फ़ाइलों के संदेश डाइजेस्ट की पुनर्गणना और तुलना करके, सिस्टम में परिवर्तन का पता लगाया जा सकता है और निगरानी की जा सकती है - जब तक कि मैलवेयर जोड़े जाने से पहले मूल आधार रेखा बनाई गई थी।
-अधिक परिष्कृत रूटकिट निरीक्षण के लिए फ़ाइल की एक असंशोधित प्रति प्रस्तुत करके, या केवल मेमोरी, पुनर्संरचना रजिस्टरों में कोड संशोधन करके सत्यापन प्रक्रिया को उलटने में सक्षम हैं, जिनकी तुलना बाद में अपेक्षित मूल्यों की एक सफेद सूची से की जाती है।<ref>{{cite web
+अधिक परिष्कृत रूटकिट निरीक्षण के लिए फ़ाइल की एक असंशोधित प्रति प्रस्तुत करके, या मात्र मेमोरी, पुनर्संरचना रजिस्टरों में कोड संशोधन करके सत्यापन प्रक्रिया को उलटने में सक्षम हैं, जिनकी तुलना बाद में अपेक्षित मूल्यों की एक सफेद सूची से की जाती है।<ref>{{cite web
   | url=http://www.trustedcomputinggroup.org/files/resource_files/C2426F48-1D09-3519-AD02D13C71B888A6/Whitepaper_Rootkit_Strom_v3.pdf
   | title=नेटवर्क एज पर रूटकिट्स को रोकना| date= January 2017
@@ Line 643: / Line 643: @@
   | access-date= 2008-07-11
   | location=Beaverton, Oregon
-  }}</ref> कोड जो हैश करता है, तुलना करता है, या संचालन का विस्तार करता है, उसे भी संरक्षित किया जाना चाहिए - इस संदर्भ में, एक अपरिवर्तनीय रूट-ऑफ-ट्रस्ट की धारणा यह मानती है कि सिस्टम के सुरक्षा गुणों को मापने के लिए सबसे पहले कोड को यह सुनिश्चित करने के लिए खुद पर भरोसा करना चाहिए रूटकिट या बूटकिट सिस्टम को उसके सबसे मौलिक स्तर पर समझौता नहीं करता है।<ref>{{cite web
+  }}</ref> कोड जो हैश करता है, तुलना करता है, या संचालन का विस्तार करता है, उसे भी संरक्षित किया जाना चाहिए - इस संदर्भ में, एक अपरिवर्तनीय रूट-ऑफ-ट्रस्ट की धारणा यह मानती है कि सिस्टम के सुरक्षा गुणों को मापने के लिए सबसे पहले कोड को यह सुनिश्चित करने के लिए स्वयं पर भरोसा करना चाहिए रूटकिट या बूटकिट सिस्टम को उसके सबसे मौलिक स्तर पर समझौता नहीं करता है।<ref>{{cite web
   | url=http://www.trustedcomputinggroup.org/files/resource_files/87B92DAF-1D09-3519-AD80984BBE62D62D/TCG_PCSpecificSpecification_v1_1.pdf
   | date=2003-08-18
@@ Line 653: / Line 653: @@
 === मेमोरी डंप ===
-[[अप्रत्यक्ष स्मृति]] के एक पूर्ण डंप को मजबूर करने से एक सक्रिय रूटकिट (या कर्नेल-मोड रूटकिट के मामले में एक कोर डंप) पर कब्जा हो जाएगा, ऑफ़लाइन फॉरेंसिक विश्लेषण को रूटकिट सक्षम किए बिना परिणामी [[डंप फ़ाइल]] के विरुद्ध डीबगर के साथ निष्पादित करने की अनुमति मिलती है। खुद को छिपाने के लिए कोई उपाय करें। यह तकनीक अत्यधिक विशिष्ट है, और इसके लिए गैर-सार्वजनिक स्रोत कोड या डीबग प्रतीक तक पहुंच की आवश्यकता हो सकती है। ऑपरेटिंग सिस्टम द्वारा शुरू किए गए मेमोरी डंप का उपयोग हमेशा हाइपरवाइजर-आधारित रूटकिट का पता लगाने के लिए नहीं किया जा सकता है, जो मेमोरी को पढ़ने के लिए निम्नतम-स्तर के प्रयासों को रोकने और हटाने में सक्षम है।<ref name="Harris"/>—एक हार्डवेयर डिवाइस, जैसे कि एक [[गैर-नकाबपोश व्यवधान]] को लागू करता है, इस परिदृश्य में मेमोरी को डंप करने की आवश्यकता हो सकती है।<ref>{{cite web
+[[अप्रत्यक्ष स्मृति]] के एक पूर्ण डंप को मजबूर करने से एक सक्रिय रूटकिट (या कर्नेल-मोड रूटकिट के मामले में एक कोर डंप) पर कब्जा हो जाएगा, ऑफ़लाइन फॉरेंसिक विश्लेषण को रूटकिट सक्षम किए बिना परिणामी [[डंप फ़ाइल]] के विरुद्ध डीबगर के साथ निष्पादित करने की अनुमति मिलती है। स्वयं को छिपाने के लिए कोई उपाय करें। यह तकनीक अत्यधिक विशिष्ट है, और इसके लिए गैर-सार्वजनिक स्रोत कोड या डीबग प्रतीक तक पहुंच की आवश्यकता हो सकती है। ऑपरेटिंग सिस्टम द्वारा शुरू किए गए मेमोरी डंप का उपयोग हमेशा हाइपरवाइजर-आधारित रूटकिट का पता लगाने के लिए नहीं किया जा सकता है, जो मेमोरी को पढ़ने के लिए निम्नतम-स्तर के प्रयासों को रोकने और हटाने में सक्षम है।<ref name="Harris"/>—एक हार्डवेयर डिवाइस, जैसे कि एक [[गैर-नकाबपोश व्यवधान]] को लागू करता है, इस परिदृश्य में मेमोरी को डंप करने की आवश्यकता हो सकती है।<ref>{{cite web
   | url=https://support.microsoft.com/en-us/kb/927069
   | publisher=[[Microsoft]]
@@ Line 668: / Line 668: @@
 == हटाना ==
-एक विशिष्ट कंप्यूटर उपयोगकर्ता के लिए रूटकिट को मैन्युअल रूप से हटाना अक्सर बेहद मुश्किल होता है,<ref name="McAfee2">{{cite web
+एक विशिष्ट कंप्यूटर उपयोगकर्ता के लिए रूटकिट को मैन्युअल रूप से हटाना अधिकांशतः बेहद मुश्किल होता है,<ref name="McAfee2">{{cite web
   | url=http://www.mcafee.com/us/local_content/white_papers/wp_rootkits_0407.pdf
   | title=रूटकिट्स पार्ट 2: एक तकनीकी प्राइमर| publisher=[[McAfee]]
@@ Line 675: / Line 675: @@
   | archive-url=https://web.archive.org/web/20081205031526/http://www.mcafee.com/us/local_content/white_papers/wp_rootkits_0407.pdf
   | archive-date=2008-12-05
-}}</ref> लेकिन कई सुरक्षा-सॉफ़्टवेयर विक्रेता स्वचालित रूप से कुछ रूटकिट का पता लगाने और हटाने के लिए उपकरण प्रदान करते हैं, आमतौर पर एक एंटीवायरस सॉफ़्टवेयर के भाग के रूप में। {{As of|2005}}, Microsoft का मासिक Windows दुर्भावनापूर्ण सॉफ़्टवेयर निष्कासन उपकरण रूटकिट के कुछ वर्गों का पता लगाने और उन्हें निकालने में सक्षम है।<ref>{{cite web
+}}</ref> परंतु कई सुरक्षा-सॉफ़्टवेयर विक्रेता स्वचालित रूप से कुछ रूटकिट का पता लगाने और हटाने के लिए उपकरण प्रदान करते हैं, सामान्यतः एक एंटीवायरस सॉफ़्टवेयर के भाग के रूप में। {{As of|2005}}, Microsoft का मासिक Windows दुर्भावनापूर्ण सॉफ़्टवेयर निष्कासन उपकरण रूटकिट के कुछ वर्गों का पता लगाने और उन्हें निकालने में सक्षम है।<ref>{{cite web
   | url=http://searchenterprisedesktop.techtarget.com/news/column/0,294698,sid192_gci1112754,00.html
   | title=रूटकिट लड़ाई: रूटकिट रिवीलर बनाम हैकर डिफेंडर| first=Kurt
@@ Line 684: / Line 684: @@
   | title=Microsoft Windows दुर्भावनापूर्ण सॉफ़्टवेयर निष्कासन उपकरण Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008, या Windows XP चलाने वाले कंप्यूटरों से विशिष्ट, प्रचलित दुर्भावनापूर्ण सॉफ़्टवेयर को निकालने में मदद करता है| publisher=[[Microsoft]]
   | date=2010-09-14
-}}</ref> साथ ही, विंडोज डिफेंडर ऑफलाइन रूटकिट को हटा सकता है, क्योंकि यह ऑपरेटिंग सिस्टम शुरू होने से पहले एक विश्वसनीय वातावरण से चलता है।<ref>{{cite book|url=https://books.google.com/books?id=s8FCDgAAQBAJ&pg=PA17|title=विंडोज वायरस और मैलवेयर समस्या निवारण|page=17|last1=Bettany|first1=Andrew|last2=Halsey|first2=Mike|publisher=Apress|year=2017|isbn=9781484226070|via=[[Google Books]]}}</ref> कुछ एंटीवायरस स्कैनर फाइल सिस्टम एपीआई को बायपास कर सकते हैं, जो रूटकिट द्वारा हेरफेर के लिए असुरक्षित हैं। इसके बजाय, वे कच्चे फ़ाइल सिस्टम संरचनाओं तक सीधे पहुँचते हैं, और रूटकिट के कारण होने वाले किसी भी अंतर की पहचान करने के लिए सिस्टम एपीआई से परिणामों को मान्य करने के लिए इस जानकारी का उपयोग करते हैं।<ref group="Notes">In theory, a sufficiently sophisticated kernel-level rootkit could subvert read operations against raw file system data structures as well, so that they match the results returned by APIs.</ref><ref>{{cite journal
+}}</ref> साथ ही, विंडोज डिफेंडर ऑफलाइन रूटकिट को हटा सकता है, क्योंकि यह ऑपरेटिंग सिस्टम शुरू होने से पहले एक विश्वसनीय वातावरण से चलता है।<ref>{{cite book|url=https://books.google.com/books?id=s8FCDgAAQBAJ&pg=PA17|title=विंडोज वायरस और मैलवेयर समस्या निवारण|page=17|last1=Bettany|first1=Andrew|last2=Halsey|first2=Mike|publisher=Apress|year=2017|isbn=9781484226070|via=[[Google Books]]}}</ref> कुछ एंटीवायरस स्कैनर फाइल सिस्टम एपीआई को बायपास कर सकते हैं, जो रूटकिट द्वारा हेरफेर के लिए असुरक्षित हैं। इसके अतिरिक्त, वे कच्चे फ़ाइल सिस्टम संरचनाओं तक सीधे पहुँचते हैं, और रूटकिट के कारण होने वाले किसी भी अंतर की पहचान करने के लिए सिस्टम एपीआई से परिणामों को मान्य करने के लिए इस जानकारी का उपयोग करते हैं।<ref group="Notes">In theory, a sufficiently sophisticated kernel-level rootkit could subvert read operations against raw file system data structures as well, so that they match the results returned by APIs.</ref><ref>{{cite journal
   | url=http://www.infoworld.com/article/2663426/security/rootkits--the-next-big-enterprise-threat-.html
   |title=रूटकिट्स: अगला बड़ा उद्यम खतरा?| last = Hultquist
@@ Line 716: / Line 716: @@
   | date=2006-11-02
   | access-date=2010-11-21
-}}</ref> ऐसे विशेषज्ञ हैं जो मानते हैं कि उन्हें हटाने का एकमात्र विश्वसनीय तरीका विश्वसनीय मीडिया से ऑपरेटिंग सिस्टम को फिर से स्थापित करना है।<ref name="ms-obscure-hacker">{{cite web
+}}</ref> ऐसे विशेषज्ञ हैं जो मानते हैं कि उन्हें हटाने का एकमात्र विश्वसनीय तरीका विश्वसनीय मीडिया से ऑपरेटिंग सिस्टम को पुनः स्थापित करना है।<ref name="ms-obscure-hacker">{{cite web
   | url=https://technet.microsoft.com/en-us/library/cc512642.aspx
   | title=रूटकिट्स: द ऑबस्क्योर हैकर अटैक| date=2005-10-06
@@ Line 743: / Line 743: @@
   | year=2007
   | pages=73–74
-}}</ref> इस उद्देश्य के लिए [[विंडोज पीई]], [[रिकवरी कंसोल]], [[विंडोज रिकवरी पर्यावरण]], [[बार्टपीई]], या [[लाइव सीडी]] जैसे लाइटवेट ऑपरेटिंग सिस्टम का उपयोग किया जा सकता है, जिससे सिस्टम को साफ किया जा सकता है। भले ही रूटकिट का प्रकार और प्रकृति ज्ञात हो, मैनुअल मरम्मत अव्यावहारिक हो सकती है, जबकि ऑपरेटिंग सिस्टम और एप्लिकेशन को फिर से इंस्टॉल करना सुरक्षित, सरल और तेज है।<ref name="ms-obscure-hacker"/>
+}}</ref> इस उद्देश्य के लिए [[विंडोज पीई]], [[रिकवरी कंसोल]], [[विंडोज रिकवरी पर्यावरण]], [[बार्टपीई]], या [[लाइव सीडी]] जैसे लाइटवेट ऑपरेटिंग सिस्टम का उपयोग किया जा सकता है, जिससे सिस्टम को साफ किया जा सकता है। भले ही रूटकिट का प्रकार और प्रकृति ज्ञात हो, मैनुअल मरम्मत अव्यावहारिक हो सकती है, जबकि ऑपरेटिंग सिस्टम और एप्लिकेशन को पुनः इंस्टॉल करना सुरक्षित, सरल और तेज है।<ref name="ms-obscure-hacker"/>
@@ Line 768: / Line 768: @@
   | archive-url=https://web.archive.org/web/20101024164136/http://www.sans.org/reading_room/whitepapers/linux/linux-rootkits-beginners-prevention-removal_901
   | archive-date=October 24, 2010
-}}</ref> [[यूईएफआई]] जैसे नए सुरक्षित बूट विनिर्देशों को बूटकिट के खतरे को संबोधित करने के लिए डिज़ाइन किया गया है, लेकिन ये भी असुरक्षित हैं यदि उनके द्वारा प्रदान की जाने वाली सुरक्षा सुविधाओं का उपयोग नहीं किया जाता है।<ref name="blog.trendmicro.com"/>सर्वर सिस्टम के लिए, इंटेल [[विश्वसनीय निष्पादन प्रौद्योगिकी]] (TXT) जैसी तकनीकों का उपयोग करके रिमोट सर्वर प्रमाणन यह सत्यापित करने का एक तरीका प्रदान करता है कि सर्वर एक ज्ञात अच्छी स्थिति में रहते हैं। उदाहरण के लिए, Microsoft [[Bitlocker]] का डेटा-एट-रेस्ट का एन्क्रिप्शन सत्यापित करता है कि सर्वर बूटअप पर ज्ञात अच्छी स्थिति में हैं। [[PrivateCore]] vCage एक सॉफ्टवेयर पेशकश है जो बूटकिट से बचने के लिए डेटा-इन-यूज (मेमोरी) को सुरक्षित करता है और सर्वर को सत्यापित करके रूटकिट बूटअप पर एक ज्ञात अच्छी स्थिति में है। PrivateCore कार्यान्वयन इंटेल TXT के साथ मिलकर काम करता है और संभावित बूटकिट और रूटकिट से बचने के लिए सर्वर सिस्टम इंटरफेस को लॉक कर देता है।
+}}</ref> [[यूईएफआई]] जैसे नए सुरक्षित बूट विनिर्देशों को बूटकिट के खतरे को संबोधित करने के लिए डिज़ाइन किया गया है, परंतु ये भी असुरक्षित हैं यदि उनके द्वारा प्रदान की जाने वाली सुरक्षा सुविधाओं का उपयोग नहीं किया जाता है।<ref name="blog.trendmicro.com"/>सर्वर सिस्टम के लिए, इंटेल [[विश्वसनीय निष्पादन प्रौद्योगिकी]] (TXT) जैसी तकनीकों का उपयोग करके रिमोट सर्वर प्रमाणन यह सत्यापित करने का एक तरीका प्रदान करता है कि सर्वर एक ज्ञात अच्छी स्थिति में रहते हैं। उदाहरण के लिए, Microsoft [[Bitlocker]] का डेटा-एट-रेस्ट का एन्क्रिप्शन सत्यापित करता है कि सर्वर बूटअप पर ज्ञात अच्छी स्थिति में हैं। [[PrivateCore]] vCage एक सॉफ्टवेयर पेशकश है जो बूटकिट से बचने के लिए डेटा-इन-यूज (मेमोरी) को सुरक्षित करता है और सर्वर को सत्यापित करके रूटकिट बूटअप पर एक ज्ञात अच्छी स्थिति में है। PrivateCore कार्यान्वयन इंटेल TXT के साथ मिलकर काम करता है और संभावित बूटकिट और रूटकिट से बचने के लिए सर्वर सिस्टम इंटरफेस को लॉक कर देता है।
 == यह भी देखें ==

Anonymous

Search

रूटकिट: Difference between revisions

Revision as of 23:52, 24 December 2022

इतिहास

सोनी बीएमजी कॉपी प्रोटेक्शन रूटकिट स्कैंडल

ग्रीक वायरटैपिंग मामला 2004–05

उपयोग करता है

प्रकार

उपयोगकर्ता मोड

कर्नेल मोड

बूटकिट्स

सूत्र स्तर

फर्मवेयर और हार्डवेयर

स्थापना और क्लोकिंग

जांच

वैकल्पिक विश्वसनीय माध्यम

व्यवहार-आधारित

हस्ताक्षर-आधारित

अंतर-आधारित

अखंडता जांच

मेमोरी डंप

हटाना

बचाव

यह भी देखें

टिप्पणियाँ

संदर्भ

अग्रिम पठन

इस पेज में लापता आंतरिक लिंक की सूची

बाहरी संबंध

Navigation

Wiki tools

Page tools

Other projects

Categories