रूटकिट: Difference between revisions

From Vigyanwiki
No edit summary
No edit summary
Line 217: Line 217:
* संदेश पारित करने का अवरोधन।
* संदेश पारित करने का अवरोधन।
* डिबगर्स।
* डिबगर्स।
* भेद्यता का शोषण (कंप्यूटिंग)
* भेद्यता का शोषण ।
* {{quote|text=...since user mode applications all run in their own memory space, the rootkit needs to perform this patching in the memory space of every running application. In addition, the rootkit needs to monitor the system for any new applications that execute and patch those programs' memory space before they fully execute.|sign=Windows Rootkit Overview|source=Symantec<ref name="Symantec"/>}}सामान्यतः उपयोग किए जाने वाले एपीआई के फंक्शन हुकिंग या पैचिंग, उदाहरण के लिए, एक फाइल सिस्टम पर चलने वाली प्रक्रिया या फाइल को छिपाने के लिए।<ref>{{cite journal
* {{quote|text=...since user mode applications all run in their own memory space, the rootkit needs to perform this patching in the memory space of every running application. In addition, the rootkit needs to monitor the system for any new applications that execute and patch those programs' memory space before they fully execute.|sign=Windows Rootkit Overview|source=Symantec<ref name="Symantec"/>}}सामान्यतः उपयोग किए जाने वाले एपीआई के फंक्शन हुकिंग या पैचिंग, उदाहरण के लिए, एक फाइल सिस्टम पर चलने वाली प्रक्रिया या फाइल को छिपाने के लिए।<ref>{{cite journal
  | journal=[[Phrack]]
  | journal=[[Phrack]]
Line 399: Line 399:
  | last4 = Ning
  | last4 = Ning
  | first4 = Peng
  | first4 = Peng
}}</ref> [[विंडोज 10]] ने डिवाइस गार्ड नामक एक नई सुविधा पेश की, जो रूटकिट-प्रकार के मैलवेयर के खिलाफ एक ऑपरेटिंग सिस्टम की स्वतंत्र बाहरी सुरक्षा प्रदान करने के लिए वर्चुअलाइजेशन का लाभ उठाती है।<ref>{{Cite web | url=https://msdn.microsoft.com/en-us/library/dn986865(v=vs.85).aspx | title=डिवाइस गार्ड विंडोज डिफेंडर एप्लिकेशन कंट्रोल और वर्चुअलाइजेशन-आधारित कोड इंटीग्रिटी (विंडोज 10) की सुरक्षा का संयोजन है}}</ref>
}}</ref> [[विंडोज 10]] ने डिवाइस गार्ड नामक एक नई सुविधा प्रस्तुत की, जो रूटकिट-प्रकार के मैलवेयर के खिलाफ एक ऑपरेटिंग सिस्टम की स्वतंत्र बाहरी सुरक्षा प्रदान करने के लिए वर्चुअलाइजेशन का लाभ उठाती है।<ref>{{Cite web | url=https://msdn.microsoft.com/en-us/library/dn986865(v=vs.85).aspx | title=डिवाइस गार्ड विंडोज डिफेंडर एप्लिकेशन कंट्रोल और वर्चुअलाइजेशन-आधारित कोड इंटीग्रिटी (विंडोज 10) की सुरक्षा का संयोजन है}}</ref>




Line 470: Line 470:


== स्थापना और क्लोकिंग ==
== स्थापना और क्लोकिंग ==
रूटकिट्स सिस्टम पर नियंत्रण हासिल करने के लिए कई तरह की तकनीकों का प्रयुक्त करते हैं; रूटकिट का प्रकार अटैक वेक्टर की पसंद को प्रभावित करता है। गुप्त विशेषाधिकार वृद्धि को प्राप्त करने के लिए सबसे आम तकनीक भेद्यता (कंप्यूटिंग) का लाभ उठाती है। एक अन्य दृष्टिकोण एक [[ट्रोजन हॉर्स (कंप्यूटिंग)|ट्रोजन हॉर्स]]  का उपयोग करना है, एक कंप्यूटर उपयोगकर्ता को रूटकिट के इंस्टॉलेशन प्रोग्राम को सौम्य मानने के लिए धोखा देना है - इस मामले में, सोशल इंजीनियरिंग (सुरक्षा) एक उपयोगकर्ता को आश्वस्त करती है कि रूटकिट लाभप्रद है।<ref name="UAMT"/>यदि [[कम से कम विशेषाधिकार का सिद्धांत]] लागू नहीं किया जाता है, तो स्थापना कार्य आसान हो जाता है, क्योंकि रूटकिट को तब स्पष्ट रूप से उन्नत (व्यवस्थापक-स्तर) विशेषाधिकारों का अनुरोध नहीं करना पड़ता है। रूटकिट के अन्य वर्ग मात्र लक्ष्य प्रणाली तक भौतिक पहुंच वाले किसी व्यक्ति द्वारा स्थापित किए जा सकते हैं। कुछ रूटकिट अभिप्रायपूर्वक सिस्टम के मालिक या मालिक द्वारा अधिकृत किसी व्यक्ति द्वारा भी स्थापित किए जा सकते हैं, उदा। [[कर्मचारी निगरानी]] के प्रयोजन के लिए, ऐसी विध्वंसक तकनीकों को अनावश्यक रूप से प्रतिपादित करना।<ref>{{cite book
रूटकिट्स सिस्टम पर नियंत्रण हासिल करने के लिए कई तरह की तकनीकों का प्रयुक्त करते हैं; रूटकिट का प्रकार अटैक वेक्टर की पसंद को प्रभावित करता है। गुप्त विशेषाधिकार वृद्धि को प्राप्त करने के लिए सबसे आम तकनीक भेद्यता का लाभ उठाती है। एक अन्य दृष्टिकोण एक [[ट्रोजन हॉर्स (कंप्यूटिंग)|ट्रोजन हॉर्स]]  का उपयोग करना है, एक कंप्यूटर उपयोगकर्ता को रूटकिट के इंस्टॉलेशन प्रोग्राम को सौम्य मानने के लिए धोखा देना है - इस मामले में, सोशल इंजीनियरिंग (सुरक्षा) एक उपयोगकर्ता को आश्वस्त करती है कि रूटकिट लाभप्रद है।<ref name="UAMT"/>यदि [[कम से कम विशेषाधिकार का सिद्धांत]] लागू नहीं किया जाता है, तो स्थापना कार्य आसान हो जाता है, क्योंकि रूटकिट को तब स्पष्ट रूप से उन्नत (व्यवस्थापक-स्तर) विशेषाधिकारों का अनुरोध नहीं करना पड़ता है। रूटकिट के अन्य वर्ग मात्र लक्ष्य प्रणाली तक भौतिक पहुंच वाले किसी व्यक्ति द्वारा स्थापित किए जा सकते हैं। कुछ रूटकिट अभिप्रायपूर्वक सिस्टम के मालिक या मालिक द्वारा अधिकृत किसी व्यक्ति द्वारा भी स्थापित किए जा सकते हैं, उदा। [[कर्मचारी निगरानी]] के प्रयोजन के लिए, ऐसी विध्वंसक तकनीकों को अनावश्यक रूप से प्रतिपादित करना।<ref>{{cite book
  | title=पेशेवर रूटकिट्स| author=Ric Vieler
  | title=पेशेवर रूटकिट्स| author=Ric Vieler
  | publisher=John Wiley & Sons
  | publisher=John Wiley & Sons
Line 546: Line 546:
  |archive-url  = https://web.archive.org/web/20100911033147/http://download.microsoft.com/download/a/b/e/abefdf1c-96bd-40d6-a138-e320b6b25bd3/understandingantimalwaretechnologies.pdf
  |archive-url  = https://web.archive.org/web/20100911033147/http://download.microsoft.com/download/a/b/e/abefdf1c-96bd-40d6-a138-e320b6b25bd3/understandingantimalwaretechnologies.pdf
  |archive-date = 2010-09-11
  |archive-date = 2010-09-11
}}</ref> कंप्यूटर वायरस की तरह, रूटकिट का पता लगाना और हटाना इस संघर्ष के दोनों पक्षों के बीच एक सतत संघर्ष है।<ref name="MIT"/>डिटेक्शन कई अलग-अलग दृष्टिकोण अपना सकता है, जिसमें वायरस सिग्नेचर (जैसे एंटीवायरस सॉफ़्टवेयर), इंटीग्रिटी चेकिंग (जैसे [[अंगुली का हस्ताक्षर]]), अंतर-आधारित डिटेक्शन (अपेक्षित बनाम वास्तविक परिणामों की तुलना), और व्यवहारिक डिटेक्शन (जैसे मॉनिटरिंग CPU उपयोग) सम्मलित हैंnया नेटवर्क ट्रैफ़िक)।
}}</ref> कंप्यूटर वायरस की तरह, रूटकिट का पता लगाना और हटाना इस संघर्ष के दोनों पक्षों के बीच एक सतत संघर्ष है।<ref name="MIT"/>डिटेक्शन कई अलग-अलग दृष्टिकोण अपना सकता है, जिसमें वायरस सिग्नेचर (जैसे एंटीवायरस सॉफ़्टवेयर), इंटीग्रिटी चेकिंग (जैसे [[अंगुली का हस्ताक्षर]]), अंतर-आधारित डिटेक्शन (अपेक्षित बनाम वास्तविक परिणामों की तुलना), और व्यवहारिक डिटेक्शन (जैसे मॉनिटरिंग CPU उपयोग) सम्मलित हैं या नेटवर्क ट्रैफ़िक)।


कर्नेल-मोड रूटकिट्स के लिए, पता लगाना काफी अधिक जटिल है, हुकिंग की तलाश के लिए सिस्टम कॉल टेबल की सावधानीपूर्वक जांच की आवश्यकता होती है जहां मैलवेयर सिस्टम व्यवहार को नष्ट कर सकता है,<ref>{{cite web
कर्नेल-मोड रूटकिट्स के लिए, पता लगाना काफी अधिक जटिल है, हुकिंग की तलाश के लिए सिस्टम कॉल टेबल की सावधानीपूर्वक जांच की आवश्यकता होती है जहां मैलवेयर सिस्टम व्यवहार को नष्ट कर सकता है,<ref>{{cite web
Line 557: Line 557:
  |archive-url=https://web.archive.org/web/20120910164327/http://www.sans.org/reading_room/whitepapers/threats/kernel-rootkits_449  
  |archive-url=https://web.archive.org/web/20120910164327/http://www.sans.org/reading_room/whitepapers/threats/kernel-rootkits_449  
  |archive-date=September 10, 2012  
  |archive-date=September 10, 2012  
}}</ref> साथ ही छिपी हुई प्रक्रियाओं को इंगित करने वाले पैटर्न के लिए मेमोरी की [[फोरेंसिक]] स्कैनिंग। यूनिक्स रूटकिट डिटेक्शन प्रसाद में ज़ेप्पू सम्मलित हैं,<ref>{{cite web
}}</ref> साथ ही छिपी हुई प्रक्रियाओं को इंगित करने वाले पैटर्न के लिए मेमोरी की [[फोरेंसिक]] स्कैनिंग। यूनिक्स रूटकिट डिटेक्शन जिसमें ज़ेप्पू सम्मलित हैं,<ref>{{cite web
  | url=http://sourceforge.net/projects/zeppoo/
  | url=http://sourceforge.net/projects/zeppoo/
  | title=ज़ेप्पू| access-date=8 August 2011
  | title=ज़ेप्पू| access-date=8 August 2011
  | publisher=[[SourceForge]]
  | publisher=[[SourceForge]]
  | date=18 July 2009
  | date=18 July 2009
}}</ref> [[chkrootkit]], [[rkhunter]] और [[OSSEC]]। विंडोज के लिए, डिटेक्शन टूल में माइक्रोसॉफ्टSysinternals RootkitRevealer सम्मलित है,<ref>{{cite web
}}</ref> [[chkrootkit]], [[rkhunter]] और [[OSSEC]]। विंडोज के लिए, डिटेक्शन टूल में माइक्रोसॉफ्ट Sysinternals रूटकिट रिवीलर सम्मलित है,<ref>{{cite web
  | url=https://technet.microsoft.com/en-us/sysinternals/bb897445.aspx
  | url=https://technet.microsoft.com/en-us/sysinternals/bb897445.aspx
  | publisher=[[Microsoft]]
  | publisher=[[Microsoft]]
Line 578: Line 578:
  | title=सोफोस एंटी-रूटकिट| access-date=8 August 2011
  | title=सोफोस एंटी-रूटकिट| access-date=8 August 2011
  | publisher=[[Sophos]]
  | publisher=[[Sophos]]
}}</ref> [[च-सुरक्षित]],<ref>{{cite web
}}</ref> [[च-सुरक्षित|एफ-सुरक्षित]],<ref>{{cite web
  | url=http://www.f-secure.com/en_UK/security/security-lab/tools-and-services/blacklight/index.html
  | url=http://www.f-secure.com/en_UK/security/security-lab/tools-and-services/blacklight/index.html
  | title=काला प्रकाश| publisher=[[F-Secure]]
  | title=काला प्रकाश| publisher=[[F-Secure]]
  | access-date=8 August 2011
  | access-date=8 August 2011
}}</ref> मूलांक,<ref>{{cite web
}}</ref> रैडिक्स,<ref>{{cite web
  | url=http://www.usec.at/rootkit.html
  | url=http://www.usec.at/rootkit.html
  | title=रेडिक्स एंटी-रूटकिट| access-date=8 August 2011
  | title=रेडिक्स एंटी-रूटकिट| access-date=8 August 2011
Line 589: Line 589:
  | url=http://www.gmer.net/
  | url=http://www.gmer.net/
  | title=जीएमईआर| access-date=8 August 2011
  | title=जीएमईआर| access-date=8 August 2011
}}</ref> और [[विंडोज़स्कोप]]। कोई भी रूटकिट डिटेक्टर जो प्रभावी सिद्ध होता है, अंततः अपनी स्वयं की अप्रभावीता में योगदान देता है, क्योंकि मैलवेयर लेखक अच्छी तरह से उपयोग किए जाने वाले टूल द्वारा पता लगाने से बचने के लिए अपने कोड को अनुकूलित और परीक्षण करते हैं।<ref group="Notes">The process name of Sysinternals RootkitRevealer was targeted by malware; in an attempt to counter this countermeasure, the tool now uses a randomly generated process name.</ref> संदिग्ध ऑपरेटिंग सिस्टम चालू नहीं होने पर भंडारण की जांच करके जांच सॉफ़्टवेयर द्वारा मान्यता प्राप्त रूटकिट को याद नहीं किया जा सकता है, क्योंकि रूटकिट सक्रिय नहीं है और संदिग्ध व्यवहार को दबा दिया गया है; रूटकिट ऑपरेशनल के साथ चलने वाला पारंपरिक एंटी-मैलवेयर सॉफ़्टवेयर विफल हो सकता है यदि रूटकिट स्वयं को प्रभावी ढंग से छुपाता है।
}}</ref> और [[विंडोज़स्कोप]]। कोई भी रूटकिट डिटेक्टर जो प्रभावी सिद्ध होता है, अंततः अपनी स्वयं की अप्रभाविता में योगदान देता है, क्योंकि मैलवेयर लेखक अच्छी तरह से उपयोग किए जाने वाले टूल द्वारा पता लगाने से बचने के लिए अपने कोड को अनुकूलित और परीक्षण करते हैं।<ref group="Notes">The process name of Sysinternals RootkitRevealer was targeted by malware; in an attempt to counter this countermeasure, the tool now uses a randomly generated process name.</ref> संदिग्ध ऑपरेटिंग सिस्टम चालू नहीं होने पर भंडारण की जांच करके जांच सॉफ़्टवेयर द्वारा मान्यता प्राप्त रूटकिट को याद नहीं किया जा सकता है, क्योंकि रूटकिट सक्रिय नहीं है और संदिग्ध व्यवहार को दबा दिया गया है; रूटकिट ऑपरेशनल के साथ चलने वाला पारंपरिक एंटी-मैलवेयर सॉफ़्टवेयर विफल हो सकता है यदि रूटकिट स्वयं को प्रभावी ढंग से छुपाता है।


=== वैकल्पिक विश्वसनीय माध्यम ===
=== वैकल्पिक विश्वसनीय माध्यम ===
ऑपरेटिंग-सिस्टम-लेवल रूटकिट डिटेक्शन के लिए सबसे अच्छा और सबसे विश्वसनीय तरीका संक्रमण के संदेह वाले कंप्यूटर को बंद करना है, और फिर वैकल्पिक विश्वसनीय माध्यम (जैसे बचाव सीडी-रोम या [[यूएसबी फ्लैश ड्राइव]]) से बूट करके इसके [[कंप्यूटर डेटा भंडारण]] की जांच करना है। ).<ref>{{Cite web
ऑपरेटिंग-सिस्टम-लेवल रूटकिट डिटेक्शन के लिए सबसे अच्छा और सबसे विश्वसनीय तरीका संक्रमण के संदेह वाले कंप्यूटर को बंद करना है, और फिर वैकल्पिक विश्वसनीय माध्यम (जैसे बचाव सीडी-रोम या [[यूएसबी फ्लैश ड्राइव]]) से बूट करके इसके [[कंप्यूटर डेटा भंडारण]] की जांच करना है।<ref>{{Cite web
  | url=http://www.symantec.com/avcenter/reference/testing_methodology_for_rootkit_removal.pdf
  | url=http://www.symantec.com/avcenter/reference/testing_methodology_for_rootkit_removal.pdf
  | title=रूटकिट हटाने की प्रभावशीलता के लिए एक परीक्षण पद्धति| first=Josh
  | title=रूटकिट हटाने की प्रभावशीलता के लिए एक परीक्षण पद्धति| first=Josh
Line 606: Line 606:


=== व्यवहार-आधारित ===
=== व्यवहार-आधारित ===
रूटकिट का पता लगाने के लिए व्यवहार-आधारित दृष्टिकोण रूटकिट-जैसे व्यवहार की तलाश करके रूटकिट की उपस्थिति का अनुमान लगाने का प्रयास करता है। उदाहरण के लिए, एक प्रणाली की [[रूपरेखा (कंप्यूटर प्रोग्रामिंग)]] द्वारा, एपीआई कॉल के समय और आवृत्ति में अंतर या समग्र सीपीयू उपयोग में अंतर को रूटकिट के लिए जिम्मेदार ठहराया जा सकता है। विधि जटिल है और टाइप I और टाइप II त्रुटियों की एक उच्च घटना से बाधित है। दोषपूर्ण रूटकिट कभी-कभी एक सिस्टम में बहुत स्पष्ट परिवर्तन पेश कर सकते हैं: एक सुरक्षा अद्यतन के बाद इसके कोड में एक डिज़ाइन दोष उजागर होने के बाद [[एल्यूरॉन]] रूटकिट ने विंडोज सिस्टम को क्रैश कर दिया।<ref>{{cite web
रूटकिट का पता लगाने के लिए व्यवहार-आधारित दृष्टिकोण रूटकिट-जैसे व्यवहार की तलाश करके रूटकिट की उपस्थिति का अनुमान लगाने का प्रयास करता है। उदाहरण के लिए, एक प्रणाली की [[रूपरेखा (कंप्यूटर प्रोग्रामिंग)]] द्वारा, एपीआई कॉल के समय और आवृत्ति में अंतर या समग्र सीपीयू उपयोग में अंतर को रूटकिट के लिए जिम्मेदार ठहराया जा सकता है। विधि जटिल है और टाइप I और टाइप II त्रुटियों की एक उच्च घटना से बाधित है। दोषपूर्ण रूटकिट कभी-कभी एक सिस्टम में बहुत स्पष्ट परिवर्तन प्रस्तुत कर सकते हैं: एक सुरक्षा अद्यतन के बाद इसके कोड में एक डिज़ाइन दोष उजागर होने के बाद [[एल्यूरॉन]] रूटकिट ने विंडोज सिस्टम को क्रैश कर दिया।<ref>{{cite web
  | url=http://www.symantec.com/connect/blogs/tidserv-and-ms10-015
  | url=http://www.symantec.com/connect/blogs/tidserv-and-ms10-015
  | title=टिडसर्व और MS10-015| publisher=[[NortonLifeLock|Symantec]]
  | title=टिडसर्व और MS10-015| publisher=[[NortonLifeLock|Symantec]]
Line 618: Line 618:
  | access-date=2010-10-05
  | access-date=2010-10-05
  | publisher=[[Microsoft]]
  | publisher=[[Microsoft]]
}}</ref> एक [[पैकेट विश्लेषक]], [[फ़ायरवॉल (कंप्यूटिंग)]], या घुसपैठ की रोकथाम प्रणाली से लॉग एक नेटवर्क वातावरण में रूटकिट व्यवहार का प्रमाण प्रस्तुत कर सकते हैं।<ref name="anson-forensics"/>
}}</ref> एक [[पैकेट विश्लेषक]], [[फ़ायरवॉल (कंप्यूटिंग)|फ़ायरवॉल]] , या घुसपैठ की रोकथाम प्रणाली से लॉग एक नेटवर्क वातावरण में रूटकिट व्यवहार का प्रमाण प्रस्तुत कर सकते हैं।<ref name="anson-forensics"/>




Line 635: Line 635:
  |archive-url  = https://archive.today/20120729/http://research.microsoft.com/en-us/um/redmond/projects/strider/rootkit/
  |archive-url  = https://archive.today/20120729/http://research.microsoft.com/en-us/um/redmond/projects/strider/rootkit/
  |archive-date = 2012-07-29
  |archive-date = 2012-07-29
}}</ref>- चूंकि, पूर्व के मामले में, ऑपरेटिंग सिस्टम तंत्र जैसे मेमोरी रिलोकेशन या [[शिम (कम्प्यूटिंग)]] द्वारा कुछ वैध अंतर पेश किए जा सकते हैं। एक रूटकिट इस तरह के अंतर-आधारित स्कैनर या वर्चुअल मशीन की उपस्थिति का पता लगा सकता है (बाद में सामान्यतः फोरेंसिक विश्लेषण करने के लिए उपयोग किया जाता है), और इसके व्यवहार को समायोजित कर सकता है जिससे कोई अंतर पता न चल सके। सोनी डीआरएम रूटकिट को खोजने के लिए [[रसिनोविच]] के रूटकिट रीवेलर टूल द्वारा अंतर-आधारित पहचान का उपयोग किया गया था।<ref name="McAfee1"/>
}}</ref>- चूंकि,पूर्व के मामले में, ऑपरेटिंग सिस्टम तंत्र जैसे मेमोरी रिलोकेशन या [[शिम (कम्प्यूटिंग)|शिम]] द्वारा कुछ वैध अंतर प्रस्तुत किए जा सकते हैं। एक रूटकिट इस तरह के अंतर-आधारित स्कैनर या वर्चुअल मशीन की उपस्थिति का पता लगा सकता है (बाद में सामान्यतः फोरेंसिक विश्लेषण करने के लिए उपयोग किया जाता है), और इसके व्यवहार को समायोजित कर सकता है जिससे कोई अंतर पता न चल सके। सोनी डीआरएम रूटकिट को खोजने के लिए [[रसिनोविच]] के रूटकिट रीवेलर टूल द्वारा अंतर-आधारित पहचान का उपयोग किया गया था।<ref name="McAfee1"/>




Line 683: Line 683:
  | archive-url=https://web.archive.org/web/20081205031526/http://www.mcafee.com/us/local_content/white_papers/wp_rootkits_0407.pdf
  | archive-url=https://web.archive.org/web/20081205031526/http://www.mcafee.com/us/local_content/white_papers/wp_rootkits_0407.pdf
  | archive-date=2008-12-05
  | archive-date=2008-12-05
}}</ref> परंतु कई सुरक्षा-सॉफ़्टवेयर विक्रेता स्वचालित रूप से कुछ रूटकिट का पता लगाने और हटाने के लिए उपकरण प्रदान करते हैं, सामान्यतः एक एंटीवायरस सॉफ़्टवेयर के भाग के रूप में। {{As of|2005}}, माइक्रोसॉफ्टका मासिक Windows द्वेषपूर्ण सॉफ़्टवेयर निष्कासन उपकरण रूटकिट के कुछ वर्गों का पता लगाने और उन्हें निकालने में सक्षम है।<ref>{{cite web
}}</ref> परंतु कई सुरक्षा-सॉफ़्टवेयर विक्रेता स्वचालित रूप से कुछ रूटकिट का पता लगाने और हटाने के लिए उपकरण प्रदान करते हैं, सामान्यतः एक एंटीवायरस सॉफ़्टवेयर के भाग के रूप में। 2005 तक, माइक्रोसॉफ्टका मासिक विंडोज़ द्वेषपूर्ण सॉफ़्टवेयर निष्कासन उपकरण रूटकिट के कुछ वर्गों का पता लगाने और उन्हें निकालने में सक्षम है।<ref>{{cite web
  | url=http://searchenterprisedesktop.techtarget.com/news/column/0,294698,sid192_gci1112754,00.html
  | url=http://searchenterprisedesktop.techtarget.com/news/column/0,294698,sid192_gci1112754,00.html
  | title=रूटकिट लड़ाई: रूटकिट रिवीलर बनाम हैकर डिफेंडर| first=Kurt
  | title=रूटकिट लड़ाई: रूटकिट रिवीलर बनाम हैकर डिफेंडर| first=Kurt
Line 755: Line 755:


== बचाव ==
== बचाव ==
सिस्टम [[सख्त (कंप्यूटिंग)]] रूटकिट के खिलाफ रक्षा की पहली परतों में से एक का प्रतिनिधित्व करता है, इसे स्थापित करने में सक्षम होने से रोकने के लिए।<ref>{{cite book
सिस्टम [[सख्त (कंप्यूटिंग)|सख्त]] रूटकिट के खिलाफ रक्षा की पहली परतों में से एक का प्रतिनिधित्व करता है, इसे स्थापित करने में सक्षम होने से रोकने के लिए।<ref>{{cite book
  | url=https://books.google.com/books?id=JHgX8_pVPpEC
  | url=https://books.google.com/books?id=JHgX8_pVPpEC
  | page=335
  | page=335
Line 776: Line 776:
  | archive-url=https://web.archive.org/web/20101024164136/http://www.sans.org/reading_room/whitepapers/linux/linux-rootkits-beginners-prevention-removal_901  
  | archive-url=https://web.archive.org/web/20101024164136/http://www.sans.org/reading_room/whitepapers/linux/linux-rootkits-beginners-prevention-removal_901  
  | archive-date=October 24, 2010  
  | archive-date=October 24, 2010  
}}</ref> [[यूईएफआई]] जैसे नए सुरक्षित बूट विनिर्देशों को बूटकिट के खतरे को संबोधित करने के लिए डिज़ाइन किया गया है, परंतु ये भी असुरक्षित हैं यदि उनके द्वारा प्रदान की जाने वाली सुरक्षा सुविधाओं का उपयोग नहीं किया जाता है।<ref name="blog.trendmicro.com"/>सर्वर सिस्टम के लिए, इंटेल [[विश्वसनीय निष्पादन प्रौद्योगिकी]] (TXT) जैसी तकनीकों का उपयोग करके रिमोट सर्वर प्रमाणन यह सत्यापित करने का एक तरीका प्रदान करता है कि सर्वर एक ज्ञात अच्छी स्थिति में रहते हैं। उदाहरण के लिए, माइक्रोसॉफ्ट[[Bitlocker]] का डेटा-एट-रेस्ट का एन्क्रिप्शन सत्यापित करता है कि सर्वर बूटअप पर ज्ञात अच्छी स्थिति में हैं। [[PrivateCore]] vCage एक सॉफ्टवेयर पेशकश है जो बूटकिट से बचने के लिए डेटा-इन-यूज (मेमोरी) को सुरक्षित करता है और सर्वर को सत्यापित करके रूटकिट बूटअप पर एक ज्ञात अच्छी स्थिति में है। PrivateCore कार्यान्वयन इंटेल TXT के साथ मिलकर काम करता है और संभावित बूटकिट और रूटकिट से बचने के लिए सर्वर सिस्टम इंटरफेस को लॉक कर देता है।
}}</ref> [[यूईएफआई]] जैसे नए सुरक्षित बूट विनिर्देशों को बूटकिट के खतरे को संबोधित करने के लिए डिज़ाइन किया गया है, परंतु ये भी असुरक्षित हैं यदि उनके द्वारा प्रदान की जाने वाली सुरक्षा सुविधाओं का उपयोग नहीं किया जाता है।<ref name="blog.trendmicro.com"/>सर्वर सिस्टम के लिए, इंटेल [[विश्वसनीय निष्पादन प्रौद्योगिकी]] (TXT) जैसी तकनीकों का उपयोग करके रिमोट सर्वर प्रमाणन यह सत्यापित करने का एक तरीका प्रदान करता है कि सर्वर एक ज्ञात अच्छी स्थिति में रहते हैं। उदाहरण के लिए, माइक्रोसॉफ्ट [[Bitlocker|बिटलॉकर]] का डेटा-एट-रेस्ट का एन्क्रिप्शन सत्यापित करता है कि सर्वर बूटअप पर ज्ञात अच्छी स्थिति में हैं। [[PrivateCore|प्राइवेटकोर]] vCage एक सॉफ्टवेयर प्रस्तुत है जो बूटकिट से बचने के लिए डेटा-इन-यूज (मेमोरी) को सुरक्षित करता है और सर्वर को सत्यापित करके रूटकिट बूटअप पर एक ज्ञात अच्छी स्थिति में है। [[PrivateCore|प्राइवेटकोर]] कार्यान्वयन इंटेल TXT के साथ मिलकर काम करता है और संभावित बूटकिट और रूटकिट से बचने के लिए सर्वर सिस्टम इंटरफेस को लॉक कर देता है।


== यह भी देखें ==
== यह भी देखें ==
Line 815: Line 815:
*सर्विस अटैक से इनकार
*सर्विस अटैक से इनकार
*धोखाधड़ी पर क्लिक करें
*धोखाधड़ी पर क्लिक करें
*हनीपोट (कम्प्यूटिंग)
*हनीपोट  
*कास्परस्की एंटी-वायरस
*कास्परस्की एंटी-वायरस
*संदेश देना
*संदेश देना
*भेद्यता (कंप्यूटिंग)
*भेद्यता  
*डीबगर
*डीबगर
*दुष्ट नौकरानी हमला
*दुष्ट नौकरानी हमला

Revision as of 00:39, 27 December 2022

श्रृंखला का हिस्सा
सूचना सुरक्षा
vectorial version
सुरक्षा संबंधित श्रेणियां
थ्रेट्स
डिफेंसेस

रूटकिट सॉफ्टवेयर का एक संग्रह है, जो सामान्यतः द्वेषपूर्ण हो