रूटकिट: Difference between revisions

From Vigyanwiki
No edit summary
No edit summary
Line 66: Line 66:
  | publisher=[[NortonLifeLock|Symantec]]
  | publisher=[[NortonLifeLock|Symantec]]
}}</ref>
}}</ref>
===सोनी बीएमजी कॉपी प्रोटेक्शन रूटकिट स्कैंडल===
===सोनी बीएमजी कॉपी प्रोटेक्शन रूटकिट स्कैंडल===
[[File:RootkitRevealer.png|thumb|right|[[रूटकिट रिवीलर]] का स्क्रीनशॉट, [[विस्तारित कॉपी सुरक्षा]] रूटकिट द्वारा छिपी हुई फाइलों को दिखा रहा है]]
[[File:RootkitRevealer.png|thumb|right|[[रूटकिट रिवीलर]] का स्क्रीनशॉट, [[विस्तारित कॉपी सुरक्षा]] रूटकिट द्वारा छिपी हुई फाइलों को दिखा रहा है]]
{{Main|Sony BMG copy protection rootkit scandal}}
{{Main|सोनी बीएमजी कॉपी प्रोटेक्शन रूटकिट स्कैंडल}}
2005 में, [[Sony BMG]] ने [[कॉपी सुरक्षा]] और [[डिजिटल अधिकार प्रबंधन]] सॉफ़्टवेयर के साथ [[कॉम्पैक्ट डिस्क]] प्रकाशित की, जिसे विस्तारित कॉपी सुरक्षा कहा जाता है, जिसे सॉफ़्टवेयर कंपनी फ़र्स्ट 4 इंटरनेट द्वारा बनाया गया है। सॉफ्टवेयर में एक म्यूजिक प्लेयर सम्मलित था परंतु चुपचाप एक रूटकिट स्थापित किया गया था जो सीडी तक पहुंचने के लिए उपयोगकर्ता की क्षमता को सीमित करता था।<ref name="CA-XCP">{{cite web
2005 में, [[Sony BMG]] ने [[कॉपी सुरक्षा]] और [[डिजिटल अधिकार प्रबंधन]] सॉफ़्टवेयर के साथ [[कॉम्पैक्ट डिस्क]] प्रकाशित की, जिसे विस्तारित कॉपी सुरक्षा कहा जाता है, जिसे सॉफ़्टवेयर कंपनी फ़र्स्ट 4 इंटरनेट द्वारा बनाया गया है। सॉफ्टवेयर में एक म्यूजिक प्लेयर सम्मलित था परंतु चुपचाप एक रूटकिट स्थापित किया गया था जो सीडी तक पहुंचने के लिए उपयोगकर्ता की क्षमता को सीमित करता था।<ref name="CA-XCP">{{cite web
  | url=http://www.ca.com/us/securityadvisor/pest/pest.aspx?id=453096362
  | url=http://www.ca.com/us/securityadvisor/pest/pest.aspx?id=453096362
Line 106: Line 104:
  | access-date = 2010-11-21
  | access-date = 2010-11-21
}}</ref>
}}</ref>
===ग्रीक वायरटैपिंग मामला 2004–05===
===ग्रीक वायरटैपिंग मामला 2004–05===
{{Main|Greek wiretapping case 2004–05}}
{{Main|ग्रीक वायरटैपिंग केस 2004-05}}
ग्रीक वायरटैपिंग मामला 2004–05, जिसे ग्रीक वाटरगेट भी कहा जाता है,<ref>{{cite news
ग्रीक वायरटैपिंग मामला 2004–05, जिसे ग्रीक वाटरगेट भी कहा जाता है,<ref>{{cite news
  | first = Dina
  | first = Dina
Line 120: Line 116:
  | date=September 2012
  | date=September 2012
}}</ref> वोडाफोन [[यूनान]] नेटवर्क पर 100 से अधिक [[चल दूरभाष]] की अवैध [[टेलीफोन टैपिंग]] सम्मलित थी, जो ज्यादातर ग्रीस सरकार के सदस्यों और शीर्ष-श्रेणी के सिविल सेवकों के थे। उन्होंने अगस्त 2004 की शुरुआत के पास शुरू हुए और अपराधियों की पहचान का पता लगाए बिना मार्च 2005 में हटा दिए गए। घुसपैठियों ने एरिक्सन के [[एक्स टेलीफोन एक्सचेंज]] को निशाना बनाते हुए एक रूटकिट स्थापित किया। IEEE स्पेक्ट्रम के अनुसार, यह पहली बार था जब किसी विशेष प्रयोजन प्रणाली पर रूटकिट देखा गया था, इस मामले में एरिक्सन टेलीफोन स्विच।<ref name="ieee">{{cite news|author1=Vassilis Prevelakis|author2=Diomidis Spinellis|date=July 2007|title=एथेंस मामला|url=https://spectrum.ieee.org/telecom/security/the-athens-affair/0}}</ref> रूटकिट को एक्सचेंज की मेमोरी को पैच करने के लिए डिज़ाइन किया गया था जब यह चल रहा था, ऑडिट लॉग को अक्षम करते हुए [[वायरटैपिंग]] को सक्षम करें, सक्रिय प्रक्रियाओं और सक्रिय डेटा ब्लॉक को सूचीबद्ध करने वाले कमांड को पैच करें और डेटा ब्लॉक [[अंततः,]] सत्यापन कमांड को संशोधित करें। एक बैकडोर ने एक ऑपरेटर को [[sysadmin]] स्थिति के साथ एक्सचेंज के लेनदेन लॉग, अलार्म और निगरानी क्षमता से संबंधित एक्सेस कमांड को निष्क्रिय करने की अनुमति दी।<ref name="ieee"/>घुसपैठियों द्वारा एक दोषपूर्ण अद्यतन स्थापित करने के बाद रूटकिट की खोज की गई, जिसके कारण [[एसएमएस]] पाठ वितरित नहीं हो पाए, जिससे एक स्वचालित विफलता रिपोर्ट उत्पन्न हुई। एरिक्सन इंजीनियरों को गलती की जांच करने के लिए बुलाया गया और रूटकिट और अवैध निगरानी सॉफ्टवेयर के साथ निगरानी किए जा रहे फोन नंबरों की सूची वाले छिपे हुए डेटा ब्लॉक की खोज की।
}}</ref> वोडाफोन [[यूनान]] नेटवर्क पर 100 से अधिक [[चल दूरभाष]] की अवैध [[टेलीफोन टैपिंग]] सम्मलित थी, जो ज्यादातर ग्रीस सरकार के सदस्यों और शीर्ष-श्रेणी के सिविल सेवकों के थे। उन्होंने अगस्त 2004 की शुरुआत के पास शुरू हुए और अपराधियों की पहचान का पता लगाए बिना मार्च 2005 में हटा दिए गए। घुसपैठियों ने एरिक्सन के [[एक्स टेलीफोन एक्सचेंज]] को निशाना बनाते हुए एक रूटकिट स्थापित किया। IEEE स्पेक्ट्रम के अनुसार, यह पहली बार था जब किसी विशेष प्रयोजन प्रणाली पर रूटकिट देखा गया था, इस मामले में एरिक्सन टेलीफोन स्विच।<ref name="ieee">{{cite news|author1=Vassilis Prevelakis|author2=Diomidis Spinellis|date=July 2007|title=एथेंस मामला|url=https://spectrum.ieee.org/telecom/security/the-athens-affair/0}}</ref> रूटकिट को एक्सचेंज की मेमोरी को पैच करने के लिए डिज़ाइन किया गया था जब यह चल रहा था, ऑडिट लॉग को अक्षम करते हुए [[वायरटैपिंग]] को सक्षम करें, सक्रिय प्रक्रियाओं और सक्रिय डेटा ब्लॉक को सूचीबद्ध करने वाले कमांड को पैच करें और डेटा ब्लॉक [[अंततः,]] सत्यापन कमांड को संशोधित करें। एक बैकडोर ने एक ऑपरेटर को [[sysadmin]] स्थिति के साथ एक्सचेंज के लेनदेन लॉग, अलार्म और निगरानी क्षमता से संबंधित एक्सेस कमांड को निष्क्रिय करने की अनुमति दी।<ref name="ieee"/>घुसपैठियों द्वारा एक दोषपूर्ण अद्यतन स्थापित करने के बाद रूटकिट की खोज की गई, जिसके कारण [[एसएमएस]] पाठ वितरित नहीं हो पाए, जिससे एक स्वचालित विफलता रिपोर्ट उत्पन्न हुई। एरिक्सन इंजीनियरों को गलती की जांच करने के लिए बुलाया गया और रूटकिट और अवैध निगरानी सॉफ्टवेयर के साथ निगरानी किए जा रहे फोन नंबरों की सूची वाले छिपे हुए डेटा ब्लॉक की खोज की।
[[Category:All articles containing potentially dated statements]]
[[Category:All articles with dead external links]]
[[Category:All articles with self-published sources]]
[[Category:All articles with unsourced statements]]
[[Category:Articles containing potentially dated statements from 2005]]
[[Category:Articles with dead external links from September 2012]]
[[Category:Articles with hatnote templates targeting a nonexistent page]]
[[Category:Articles with invalid date parameter in template]]
[[Category:Articles with self-published sources from November 2010]]
[[Category:Articles with short description]]


== उपयोग ==
== उपयोग ==
Line 203: Line 188:
  |archive-date = 2011-07-16
  |archive-date = 2011-07-16
}}</ref>
}}</ref>
== प्रकार ==
== प्रकार ==
{{Further|Ring (computer security)}}
{{Further|रिंग (कंप्यूटर सुरक्षा)}}
रूटकिट कम से कम 69 प्रकार के रूटकिट हैं, फ़र्मवेयर में निम्नतम स्तर (उच्चतम विशेषाधिकारों के साथ) से लेकर [[कर्नेल (कंप्यूटर विज्ञान)|कर्नेल]]  में संचालित होने वाले कम से कम विशेषाधिकार प्राप्त उपयोगकर्ता-आधारित वेरिएंट तक। इनमें से हाइब्रिड संयोजन फैले हुए हो सकते हैं, उदाहरण के लिए, उपयोगकर्ता मोड और कर्नेल मोड।<ref name="anson-forensics"/>
रूटकिट कम से कम 69 प्रकार के रूटकिट हैं, फ़र्मवेयर में निम्नतम स्तर (उच्चतम विशेषाधिकारों के साथ) से लेकर [[कर्नेल (कंप्यूटर विज्ञान)|कर्नेल]]  में संचालित होने वाले कम से कम विशेषाधिकार प्राप्त उपयोगकर्ता-आधारित वेरिएंट तक। इनमें से हाइब्रिड संयोजन फैले हुए हो सकते हैं, उदाहरण के लिए, उपयोगकर्ता मोड और कर्नेल मोड।<ref name="anson-forensics"/>
=== उपयोगकर्ता मोड ===
=== उपयोगकर्ता मोड ===
[[File:CPU ring scheme.svg|thumb|right|कंप्यूटर सुरक्षा [[रिंग (कंप्यूटर सुरक्षा)]] (ध्यान दें कि हाइपरविजर|रिंग -1 नहीं दिखाया गया है)]]उपयोक्ता-मोड रूटकिट रिंग में चलते हैं, अन्य अनुप्रयोगों के साथ-साथ निम्न-स्तरीय सिस्टम प्रक्रियाओं के अतिरिक्त उपयोगकर्ता के रूप में अन्य अनुप्रयोगों के साथ, रिंग 3 में चलते हैं।<ref name="McAfee2"/>एप्लिकेशन प्रोग्रामिंग इंटरफेस (एपीआई) के मानक व्यवहार को रोकने और संशोधित करने के लिए उनके पास कई संभावित इंस्टॉलेशन वैक्टर हैं। कुछ अन्य प्रक्रियाओं में [[गतिशील लिंकर]] लाइब्रेरी (जैसे विंडोज़ पर डायनेमिक-लिंक लाइब्रेरी .DLL फ़ाइल, या macOS पर .dylib फ़ाइल ) इंजेक्ट करते हैं, और इस प्रकार किसी भी लक्षित प्रक्रिया के अंदर इसे धोखा देने के लिए निष्पादित करने में सक्षम हैं; अन्य पर्याप्त विशेषाधिकारों के साथ लक्ष्य अनुप्रयोग की स्मृति को अधिलेखित कर देते हैं इनमें इंजेक्शन तंत्र में सम्मलित हैं:<ref name="McAfee2"/>  
[[File:CPU ring scheme.svg|thumb|right|कंप्यूटर सुरक्षा [[रिंग (कंप्यूटर सुरक्षा)]] (ध्यान दें कि हाइपरविजर|रिंग -1 नहीं दिखाया गया है)]]उपयोक्ता-मोड रूटकिट रिंग में चलते हैं, अन्य अनुप्रयोगों के साथ-साथ निम्न-स्तरीय सिस्टम प्रक्रियाओं के अतिरिक्त उपयोगकर्ता के रूप में अन्य अनुप्रयोगों के साथ, रिंग 3 में चलते हैं।<ref name="McAfee2"/>एप्लिकेशन प्रोग्रामिंग इंटरफेस (एपीआई) के मानक व्यवहार को रोकने और संशोधित करने के लिए उनके पास कई संभावित इंस्टॉलेशन वैक्टर हैं। कुछ अन्य प्रक्रियाओं में [[गतिशील लिंकर]] लाइब्रेरी (जैसे विंडोज़ पर डायनेमिक-लिंक लाइब्रेरी .DLL फ़ाइल, या macOS पर .dylib फ़ाइल ) इंजेक्ट करते हैं, और इस प्रकार किसी भी लक्षित प्रक्रिया के अंदर इसे धोखा देने के लिए निष्पादित करने में सक्षम हैं; अन्य पर्याप्त विशेषाधिकारों के साथ लक्ष्य अनुप्रयोग की स्मृति को अधिलेखित कर देते हैं इनमें इंजेक्शन तंत्र में सम्मलित हैं:<ref name="McAfee2"/>  
Line 218: Line 198:
* डिबगर्स।
* डिबगर्स।
* भेद्यता का शोषण ।
* भेद्यता का शोषण ।
* {{quote|text=...since user mode applications all run in their own memory space, the rootkit needs to perform this patching in the memory space of every running application. In addition, the rootkit needs to monitor the system for any new applications that execute and patch those programs' memory space before they fully execute.|sign=Windows Rootkit Overview|source=Symantec<ref name="Symantec"/>}}सामान्यतः उपयोग किए जाने वाले एपीआई के फंक्शन हुकिंग या पैचिंग, उदाहरण के लिए, एक फाइल सिस्टम पर चलने वाली प्रक्रिया या फाइल को छिपाने के लिए।<ref>{{cite journal
* {{quote|text=... चूंकि उपयोगकर्ता मोड एप्लिकेशन सभी अपने स्वयं के मेमोरी स्पेस में चलते हैं, रूटकिट को प्रत्येक चल रहे एप्लिकेशन के मेमोरी स्पेस में इस पैचिंग को करने की आवश्यकता होती है। इसके अलावा, रूटकिट को किसी भी नए एप्लिकेशन के लिए सिस्टम की निगरानी करने की आवश्यकता होती है जो पूरी तरह से निष्पादित होने से पहले उन प्रोग्रामों की मेमोरी स्पेस को निष्पादित और पैच करता है।|sign=विंडोज रूटकिट अवलोकन|source=Symantec<ref name="Symantec"/>}}सामान्यतः उपयोग किए जाने वाले एपीआई के फंक्शन हुकिंग या पैचिंग, उदाहरण के लिए, एक फाइल सिस्टम पर चलने वाली प्रक्रिया या फाइल को छिपाने के लिए।<ref>{{cite journal
  | journal=[[Phrack]]
  | journal=[[Phrack]]
  | url=http://www.phrack.org/issues.html?issue=62&id=12
  | url=http://www.phrack.org/issues.html?issue=62&id=12
Line 225: Line 205:
  | title= NTIllusion: एक पोर्टेबल Win32 यूजरलैंड रूटकिट| author=Kdm
  | title= NTIllusion: एक पोर्टेबल Win32 यूजरलैंड रूटकिट| author=Kdm
}}</ref>
}}</ref>
=== कर्नेल मोड ===
=== कर्नेल मोड ===
कर्नेल-मोड रूटकिट उच्चतम ऑपरेटिंग सिस्टम विशेषाधिकारों (रिंग) के साथ कोड जोड़कर या कर्नेल (कंप्यूटर विज्ञान) और संबंधित डिवाइस ड्राइवर दोनों सहित कोर ऑपरेटिंग सिस्टम के भागों को बदलकर चलते हैं।{{citation needed|date=July 2021}} अधिकांश ऑपरेटिंग सिस्टम कर्नेल-मोड डिवाइस ड्राइवरों का समर्थन करते हैं, जो ऑपरेटिंग सिस्टम के समान विशेषाधिकारों के साथ निष्पादित होते हैं। जैसे, कई कर्नेल-मोड रूटकिट डिवाइस ड्राइवर या लोड करने योग्य मॉड्यूल के रूप में विकसित किए जाते हैं, जैसे [[लिनक्स]] में [[मॉड्यूल (लिनक्स)]] या [[माइक्रोसॉफ़्ट विंडोज़]] में डिवाइस ड्राइवर। रूटकिट के इस वर्ग के पास अप्रतिबंधित सुरक्षा पहुंच है, परंतु लिखना अधिक कठिन है।<ref name="UAMT"/>जटिलता बग को सामान्य बनाती है, और कर्नेल स्तर पर संचालन करने वाले कोड में कोई भी बग सिस्टम स्थिरता को गंभीर रूप से प्रभावित कर सकता है, जिससे रूटकिट की खोज हो सकती है।<ref name="UAMT"/>पहले व्यापक रूप से ज्ञात कर्नेल रूटकिट्स में से एक को विंडोज एनटी 4.0 के लिए विकसित किया गया था और 1999 में ग्रेग होगलंड द्वारा [[फ्रैक]] पत्रिका में जारी किया गया था।<ref>{{cite journal
कर्नेल-मोड रूटकिट उच्चतम ऑपरेटिंग सिस्टम विशेषाधिकारों (रिंग) के साथ कोड जोड़कर या कर्नेल (कंप्यूटर विज्ञान) और संबंधित डिवाइस ड्राइवर दोनों सहित कोर ऑपरेटिंग सिस्टम के भागों को बदलकर चलते हैं।{{citation needed|date=July 2021}} अधिकांश ऑपरेटिंग सिस्टम कर्नेल-मोड डिवाइस ड्राइवरों का समर्थन करते हैं, जो ऑपरेटिंग सिस्टम के समान विशेषाधिकारों के साथ निष्पादित होते हैं। जैसे, कई कर्नेल-मोड रूटकिट डिवाइस ड्राइवर या लोड करने योग्य मॉड्यूल के रूप में विकसित किए जाते हैं, जैसे [[लिनक्स]] में [[मॉड्यूल (लिनक्स)]] या [[माइक्रोसॉफ़्ट विंडोज़]] में डिवाइस ड्राइवर। रूटकिट के इस वर्ग के पास अप्रतिबंधित सुरक्षा पहुंच है, परंतु लिखना अधिक कठिन है।<ref name="UAMT"/>जटिलता बग को सामान्य बनाती है, और कर्नेल स्तर पर संचालन करने वाले कोड में कोई भी बग सिस्टम स्थिरता को गंभीर रूप से प्रभावित कर सकता है, जिससे रूटकिट की खोज हो सकती है।<ref name="UAMT"/>पहले व्यापक रूप से ज्ञात कर्नेल रूटकिट्स में से एक को विंडोज एनटी 4.0 के लिए विकसित किया गया था और 1999 में ग्रेग होगलंड द्वारा [[फ्रैक]] पत्रिका में जारी किया गया था।<ref>{{cite journal
Line 290: Line 268:
  | access-date=2008-07-06
  | access-date=2008-07-06
}}</ref>
}}</ref>
====बूटकिट्स ====
====बूटकिट्स ====
कर्नेल-मोड रूटकिट वेरिएंट जिसे बूटकिट कहा जाता है, [[मास्टर बूट दस्तावेज़]] (एमबीआर), [[वॉल्यूम बूट रिकॉर्ड]] (वीबीआर), या बूट सेक्टर जैसे स्टार्टअप कोड को संक्रमित कर सकता है, और इस तरह [[पूर्ण डिस्क एन्क्रिप्शन]] सिस्टम पर हमला करने के लिए प्रयुक्त किया जा सकता है।<ref>{{cite web|url=https://arstechnica.com/gadgets/2020/07/red-hat-and-centos-systems-arent-booting-due-to-boothole-patches/|title=बूटहोल पैच के कारण Red Hat और CentOS सिस्टम बूट नहीं हो रहे हैं|last=Salter|first=Jim|website=[[Ars Technica]]|date=July 31, 2020|access-date=July 24, 2021}}</ref> डिस्क एन्क्रिप्शन पर इस तरह के हमले का एक उदाहरण दुष्ट नौकरानी का हमला है, जिसमें एक हमलावर एक उपेक्षित कंप्यूटर पर बूटकिट स्थापित करता है। परिकल्पित परिदृश्य होटल के उस कमरे में घुसने वाली एक नौकरानी है जहाँ पीड़ितों ने अपना हार्डवेयर छोड़ा था।<ref>{{cite web
कर्नेल-मोड रूटकिट वेरिएंट जिसे बूटकिट कहा जाता है, [[मास्टर बूट दस्तावेज़]] (एमबीआर), [[वॉल्यूम बूट रिकॉर्ड]] (वीबीआर), या बूट सेक्टर जैसे स्टार्टअप कोड को संक्रमित कर सकता है, और इस तरह [[पूर्ण डिस्क एन्क्रिप्शन]] सिस्टम पर हमला करने के लिए प्रयुक्त किया जा सकता है।<ref>{{cite web|url=https://arstechnica.com/gadgets/2020/07/red-hat-and-centos-systems-arent-booting-due-to-boothole-patches/|title=बूटहोल पैच के कारण Red Hat और CentOS सिस्टम बूट नहीं हो रहे हैं|last=Salter|first=Jim|website=[[Ars Technica]]|date=July 31, 2020|access-date=July 24, 2021}}</ref> डिस्क एन्क्रिप्शन पर इस तरह के हमले का एक उदाहरण दुष्ट नौकरानी का हमला है, जिसमें एक हमलावर एक उपेक्षित कंप्यूटर पर बूटकिट स्थापित करता है। परिकल्पित परिदृश्य होटल के उस कमरे में घुसने वाली एक नौकरानी है जहाँ पीड़ितों ने अपना हार्डवेयर छोड़ा था।<ref>{{cite web
Line 400: Line 376:
  | first4 = Peng
  | first4 = Peng
}}</ref> [[विंडोज 10]] ने डिवाइस गार्ड नामक एक नई सुविधा प्रस्तुत की, जो रूटकिट-प्रकार के मैलवेयर के खिलाफ एक ऑपरेटिंग सिस्टम की स्वतंत्र बाहरी सुरक्षा प्रदान करने के लिए वर्चुअलाइजेशन का लाभ उठाती है।<ref>{{Cite web | url=https://msdn.microsoft.com/en-us/library/dn986865(v=vs.85).aspx | title=डिवाइस गार्ड विंडोज डिफेंडर एप्लिकेशन कंट्रोल और वर्चुअलाइजेशन-आधारित कोड इंटीग्रिटी (विंडोज 10) की सुरक्षा का संयोजन है}}</ref>
}}</ref> [[विंडोज 10]] ने डिवाइस गार्ड नामक एक नई सुविधा प्रस्तुत की, जो रूटकिट-प्रकार के मैलवेयर के खिलाफ एक ऑपरेटिंग सिस्टम की स्वतंत्र बाहरी सुरक्षा प्रदान करने के लिए वर्चुअलाइजेशन का लाभ उठाती है।<ref>{{Cite web | url=https://msdn.microsoft.com/en-us/library/dn986865(v=vs.85).aspx | title=डिवाइस गार्ड विंडोज डिफेंडर एप्लिकेशन कंट्रोल और वर्चुअलाइजेशन-आधारित कोड इंटीग्रिटी (विंडोज 10) की सुरक्षा का संयोजन है}}</ref>
=== फर्मवेयर और हार्डवेयर ===
=== फर्मवेयर और हार्डवेयर ===
एक फर्मवेयर रूटकिट डिवाइस या प्लेटफॉर्म फर्मवेयर का उपयोग हार्डवेयर में एक स्थायी मैलवेयर छवि बनाने के लिए करता है, जैसे [[राउटर (कंप्यूटिंग)|राउटर]] , [[नेटवर्क इंटरफ़ेस नियंत्रक]],<ref>{{cite conference
एक फर्मवेयर रूटकिट डिवाइस या प्लेटफॉर्म फर्मवेयर का उपयोग हार्डवेयर में एक स्थायी मैलवेयर छवि बनाने के लिए करता है, जैसे [[राउटर (कंप्यूटिंग)|राउटर]] , [[नेटवर्क इंटरफ़ेस नियंत्रक]],<ref>{{cite conference
Line 619: Line 593:
  | publisher=[[Microsoft]]
  | publisher=[[Microsoft]]
}}</ref> एक [[पैकेट विश्लेषक]], [[फ़ायरवॉल (कंप्यूटिंग)|फ़ायरवॉल]] , या घुसपैठ की रोकथाम प्रणाली से लॉग एक नेटवर्क वातावरण में रूटकिट व्यवहार का प्रमाण प्रस्तुत कर सकते हैं।<ref name="anson-forensics"/>
}}</ref> एक [[पैकेट विश्लेषक]], [[फ़ायरवॉल (कंप्यूटिंग)|फ़ायरवॉल]] , या घुसपैठ की रोकथाम प्रणाली से लॉग एक नेटवर्क वातावरण में रूटकिट व्यवहार का प्रमाण प्रस्तुत कर सकते हैं।<ref name="anson-forensics"/>
=== हस्ताक्षर-आधारित ===
=== हस्ताक्षर-आधारित ===
एंटीवायरस उत्पाद सार्वजनिक परीक्षणों में प्रायः ही कभी सभी वायरस पकड़ते हैं (इस पर निर्भर करता है कि किसका उपयोग किया जाता है और किस हद तक), भले ही सुरक्षा सॉफ़्टवेयर विक्रेता अपने उत्पादों में रूटकिट डिटेक्शन सम्मलित करते हैं। यदि कोई रूटकिट एंटीवायरस स्कैन के दौरान छिपाने का प्रयास करता है, तो एक स्टील्थ डिटेक्टर नोटिस कर सकता है; यदि रूटकिट सिस्टम से स्वयं को अस्थायी रूप से अनलोड करने का प्रयास करता है, तो सिग्नेचर डिटेक्शन (या फ़िंगरप्रिंटिंग) अभी भी इसे ढूंढ सकता है।<ref>{{cite web|url=https://bestantivirus.com/blog/keyloggers.html|title=कीलॉगर्स के बारे में आपको क्या जानना चाहिए|last=Steinberg|first=Joseph|website=bestantivirus.com|date=June 9, 2021|access-date=July 24, 2021}}</ref> यह संयुक्त दृष्टिकोण हमलावरों को काउंटरटैक तंत्र, या रेट्रो रूटीन लागू करने के लिए मजबूर करता है, जो एंटीवायरस प्रोग्राम को समाप्त करने का प्रयास करता है। हस्ताक्षर-आधारित पता लगाने के विधि अच्छी तरह से प्रकाशित रूटकिट के खिलाफ प्रभावी हो सकते हैं, परंतु विशेष रूप से तैयार किए गए, कस्टम-रूट रूटकिट के खिलाफ कम।<ref name="MIT"/>
एंटीवायरस उत्पाद सार्वजनिक परीक्षणों में प्रायः ही कभी सभी वायरस पकड़ते हैं (इस पर निर्भर करता है कि किसका उपयोग किया जाता है और किस हद तक), भले ही सुरक्षा सॉफ़्टवेयर विक्रेता अपने उत्पादों में रूटकिट डिटेक्शन सम्मलित करते हैं। यदि कोई रूटकिट एंटीवायरस स्कैन के दौरान छिपाने का प्रयास करता है, तो एक स्टील्थ डिटेक्टर नोटिस कर सकता है; यदि रूटकिट सिस्टम से स्वयं को अस्थायी रूप से अनलोड करने का प्रयास करता है, तो सिग्नेचर डिटेक्शन (या फ़िंगरप्रिंटिंग) अभी भी इसे ढूंढ सकता है।<ref>{{cite web|url=https://bestantivirus.com/blog/keyloggers.html|title=कीलॉगर्स के बारे में आपको क्या जानना चाहिए|last=Steinberg|first=Joseph|website=bestantivirus.com|date=June 9, 2021|access-date=July 24, 2021}}</ref> यह संयुक्त दृष्टिकोण हमलावरों को काउंटरटैक तंत्र, या रेट्रो रूटीन लागू करने के लिए मजबूर करता है, जो एंटीवायरस प्रोग्राम को समाप्त करने का प्रयास करता है। हस्ताक्षर-आधारित पता लगाने के विधि अच्छी तरह से प्रकाशित रूटकिट के खिलाफ प्रभावी हो सकते हैं, परंतु विशेष रूप से तैयार किए गए, कस्टम-रूट रूटकिट के खिलाफ कम।<ref name="MIT"/>
=== अंतर-आधारित ===
=== अंतर-आधारित ===
एक अन्य विधि जो रूटकिट का पता लगा सकती है, विश्वसनीय कच्चे डेटा की तुलना [[एपीआई]] द्वारा लौटाई गई दूषित सामग्री से करती है। उदाहरण के लिए, डिस्क पर मौजूद बायनेरिज़ की तुलना [[ऑपरेटिंग मेमोरी]] के अंतर्गत उनकी प्रतियों से की जा सकती है (कुछ ऑपरेटिंग सिस्टम में, इन-मेमोरी छवि ऑन-डिस्क छवि के समान होनी चाहिए), या [[फाइल सिस्टम]] या [[विंडोज रजिस्ट्री]] एपीआई से लौटाए गए परिणाम कर सकते हैं अंतर्निहित भौतिक डिस्क पर कच्ची संरचनाओं के विरुद्ध जाँच की जाए<ref name="MIT"/><ref>{{cite web
एक अन्य विधि जो रूटकिट का पता लगा सकती है, विश्वसनीय कच्चे डेटा की तुलना [[एपीआई]] द्वारा लौटाई गई दूषित सामग्री से करती है। उदाहरण के लिए, डिस्क पर मौजूद बायनेरिज़ की तुलना [[ऑपरेटिंग मेमोरी]] के अंतर्गत उनकी प्रतियों से की जा सकती है (कुछ ऑपरेटिंग सिस्टम में, इन-मेमोरी छवि ऑन-डिस्क छवि के समान होनी चाहिए), या [[फाइल सिस्टम]] या [[विंडोज रजिस्ट्री]] एपीआई से लौटाए गए परिणाम कर सकते हैं अंतर्निहित भौतिक डिस्क पर कच्ची संरचनाओं के विरुद्ध जाँच की जाए<ref name="MIT"/><ref>{{cite web
Line 636: Line 606:
  |archive-date = 2012-07-29
  |archive-date = 2012-07-29
}}</ref>- चूंकि,पूर्व के मामले में, ऑपरेटिंग सिस्टम तंत्र जैसे मेमोरी रिलोकेशन या [[शिम (कम्प्यूटिंग)|शिम]]  द्वारा कुछ वैध अंतर प्रस्तुत किए जा सकते हैं। एक रूटकिट इस तरह के अंतर-आधारित स्कैनर या वर्चुअल मशीन की उपस्थिति का पता लगा सकता है (बाद में सामान्यतः फोरेंसिक विश्लेषण करने के लिए उपयोग किया जाता है), और इसके व्यवहार को समायोजित कर सकता है जिससे कोई अंतर पता न चल सके। सोनी डीआरएम रूटकिट को खोजने के लिए [[रसिनोविच]] के रूटकिट रीवेलर टूल द्वारा अंतर-आधारित पहचान का उपयोग किया गया था।<ref name="McAfee1"/>
}}</ref>- चूंकि,पूर्व के मामले में, ऑपरेटिंग सिस्टम तंत्र जैसे मेमोरी रिलोकेशन या [[शिम (कम्प्यूटिंग)|शिम]]  द्वारा कुछ वैध अंतर प्रस्तुत किए जा सकते हैं। एक रूटकिट इस तरह के अंतर-आधारित स्कैनर या वर्चुअल मशीन की उपस्थिति का पता लगा सकता है (बाद में सामान्यतः फोरेंसिक विश्लेषण करने के लिए उपयोग किया जाता है), और इसके व्यवहार को समायोजित कर सकता है जिससे कोई अंतर पता न चल सके। सोनी डीआरएम रूटकिट को खोजने के लिए [[रसिनोविच]] के रूटकिट रीवेलर टूल द्वारा अंतर-आधारित पहचान का उपयोग किया गया था।<ref name="McAfee1"/>
=== अखंडता जांच ===
=== अखंडता जांच ===
[[File:Rkhunter on Mac OS X.png|thumb|right|Rhunter उपयोगिता [[SHA-1]] हैश का उपयोग सिस्टम फ़ाइलों की अखंडता को सत्यापित करने के लिए करती है।]][[कोड हस्ताक्षर]] सार्वजनिक-कुंजी अवसंरचना का उपयोग यह जांचने के लिए करता है कि किसी फ़ाइल को उसके प्रकाशक द्वारा डिजिटल हस्ताक्षर होने के बाद से संशोधित किया गया है या नहीं। वैकल्पिक रूप से, सिस्टम स्वामी या व्यवस्थापक स्थापना के समय फ़िंगरप्रिंट की गणना करने के लिए [[क्रिप्टोग्राफ़िक हैश फ़ंक्शन]] का उपयोग कर सकता है जो ऑन-डिस्क कोड लाइब्रेरी में बाद में अनधिकृत परिवर्तनों का पता लगाने में मदद कर सकता है।<ref>{{cite web
[[File:Rkhunter on Mac OS X.png|thumb|right|Rhunter उपयोगिता [[SHA-1]] हैश का उपयोग सिस्टम फ़ाइलों की अखंडता को सत्यापित करने के लिए करती है।]][[कोड हस्ताक्षर]] सार्वजनिक-कुंजी अवसंरचना का उपयोग यह जांचने के लिए करता है कि किसी फ़ाइल को उसके प्रकाशक द्वारा डिजिटल हस्ताक्षर होने के बाद से संशोधित किया गया है या नहीं। वैकल्पिक रूप से, सिस्टम स्वामी या व्यवस्थापक स्थापना के समय फ़िंगरप्रिंट की गणना करने के लिए [[क्रिप्टोग्राफ़िक हैश फ़ंक्शन]] का उपयोग कर सकता है जो ऑन-डिस्क कोड लाइब्रेरी में बाद में अनधिकृत परिवर्तनों का पता लगाने में मदद कर सकता है।<ref>{{cite web
Line 658: Line 626:
  | title=टीसीजी पीसी विशिष्ट कार्यान्वयन विशिष्टता, संस्करण 1.1
  | title=टीसीजी पीसी विशिष्ट कार्यान्वयन विशिष्टता, संस्करण 1.1
  }}</ref>
  }}</ref>
=== मेमोरी डंप ===
=== मेमोरी डंप ===
[[अप्रत्यक्ष स्मृति]] के एक पूर्ण डंप को मजबूर करने से एक सक्रिय रूटकिट (या कर्नेल-मोड रूटकिट के मामले में एक कोर डंप) पर कब्जा हो जाएगा, ऑफ़लाइन फॉरेंसिक विश्लेषण को रूटकिट सक्षम किए बिना परिणामी [[डंप फ़ाइल]] के विरुद्ध डीबगर के साथ निष्पादित करने की अनुमति मिलती है। स्वयं को छिपाने के लिए कोई उपाय करें। यह तकनीक अत्यधिक विशिष्ट है, और इसके लिए गैर-सार्वजनिक स्रोत कोड या डीबग प्रतीक तक पहुंच की आवश्यकता हो सकती है। ऑपरेटिंग सिस्टम द्वारा शुरू किए गए मेमोरी डंप का उपयोग हमेशा हाइपरवाइजर-आधारित रूटकिट का पता लगाने के लिए नहीं किया जा सकता है, जो मेमोरी को पढ़ने के लिए निम्नतम-स्तर के प्रयासों को रोकने और हटाने में सक्षम है।<ref name="Harris"/>—एक हार्डवेयर डिवाइस, जैसे कि एक [[गैर-नकाबपोश व्यवधान]] को लागू करता है, इस परिदृश्य में मेमोरी को डंप करने की आवश्यकता हो सकती है।<ref>{{cite web
[[अप्रत्यक्ष स्मृति]] के एक पूर्ण डंप को मजबूर करने से एक सक्रिय रूटकिट (या कर्नेल-मोड रूटकिट के मामले में एक कोर डंप) पर कब्जा हो जाएगा, ऑफ़लाइन फॉरेंसिक विश्लेषण को रूटकिट सक्षम किए बिना परिणामी [[डंप फ़ाइल]] के विरुद्ध डीबगर के साथ निष्पादित करने की अनुमति मिलती है। स्वयं को छिपाने के लिए कोई उपाय करें। यह तकनीक अत्यधिक विशिष्ट है, और इसके लिए गैर-सार्वजनिक स्रोत कोड या डीबग प्रतीक तक पहुंच की आवश्यकता हो सकती है। ऑपरेटिंग सिस्टम द्वारा शुरू किए गए मेमोरी डंप का उपयोग हमेशा हाइपरवाइजर-आधारित रूटकिट का पता लगाने के लिए नहीं किया जा सकता है, जो मेमोरी को पढ़ने के लिए निम्नतम-स्तर के प्रयासों को रोकने और हटाने में सक्षम है।<ref name="Harris"/>—एक हार्डवेयर डिवाइस, जैसे कि एक [[गैर-नकाबपोश व्यवधान]] को लागू करता है, इस परिदृश्य में मेमोरी को डंप करने की आवश्यकता हो सकती है।<ref>{{cite web
Line 799: Line 765:
*{{cite book|first=Ric|last= Veiler|title=Professional Rootkits|publisher=Wrox|year=2007|isbn=978-0-470-10154-4}}
*{{cite book|first=Ric|last= Veiler|title=Professional Rootkits|publisher=Wrox|year=2007|isbn=978-0-470-10154-4}}


==इस पेज में लापता आंतरिक लिंक की सूची==
*UNIX- जैसे
*कार्यकारी प्रबंधक
*मस्तिष्क (कंप्यूटर वायरस)
*निजी कंप्यूटर
*से
*हुकिंग
*आईईईई स्पेक्ट्रम
*वोडाफोन ग्रीस
*चित्रमय पहचान और प्रमाणीकरण
*प्राधिकार
*सर्विस अटैक से इनकार
*धोखाधड़ी पर क्लिक करें
*हनीपोट
*कास्परस्की एंटी-वायरस
*संदेश देना
*भेद्यता
*डीबगर
*दुष्ट नौकरानी हमला
*सुरक्षित प्रकार
*उन्नत कॉन्फ़िगरेशन और पावर इंटरफ़ेस
*सेंट्रल प्रोसेसिंग यूनिट
*मिशिगन यूनिवर्सिटी
*लैपटॉप के लिए लोजैक
*आउट-ऑफ-बैंड प्रबंधन
*इंटेल सक्रिय प्रबंधन प्रौद्योगिकी
*अचूक अपराध
*टाइप I और टाइप II त्रुटियां
*अनाधिकृत प्रवेश निरोधक प्रणाली
*बाइनरी
*सार्वजनिक मुख्य बुनियादी सुविधा
*सोर्स कोड
*डिबग प्रतीक
*फोरेंसिक विश्लेषण
*विंडोज द्वेषपूर्ण सॉफ़्टवेयर रिमूवल टूल
*होस्ट-आधारित घुसपैठ का पता लगाने वाली प्रणाली
==बाहरी संबंध==
==बाहरी संबंध==
*{{Commonscatinline|Rootkits}}
*{{Commonscatinline|Rootkits}}


{{Malware}}
{{Malware}}
{{Authority control}}
[[Category:मैलवेयर के प्रकार]]
[[Category: रूटकिट्स| ]]
[[Category:विशेषाधिकार वृद्धि शोषण]]
[[Category:क्रिप्टोग्राफ़िक हमले]]
[[Category:साइबरवारफेयर]]
[[Category: Machine Translated Page]]
[[Category:Created On 16/12/2022]]

Revision as of 21:53, 11 January 2023

श्रृंखला का हिस्सा
सूचना सुरक्षा
vectorial version
सुरक्षा संबंधित श्रेणियां
थ्रेट्स