रूटकिट: Difference between revisions
From Vigyanwiki
No edit summary |
|||
| Line 31: | Line 31: | ||
| year=2008 | | year=2008 | ||
| isbn=978-1-59749-240-9 | | isbn=978-1-59749-240-9 | ||
|author1=Andrew Hay |author2=Daniel Cid |author3=Rory Bray|via=[[Google Books]] }}</ref> 1983 में [[ट्यूरिंग पुरस्कार]] प्राप्त करने पर दिए गए व्याख्यान में, [[बेल लैब्स]] के [[केन थॉम्पसन]], [[यूनिक्स]] के रचनाकारों में से एक, ने यूनिक्स वितरण में [[सी संकलक]] को नष्ट करने के बारे में सिद्धांत दिया और शोषण पर चर्चा की। संशोधित संकलक यूनिक्स को संकलित करने के प्रयासों का पता लगाएगा <code>लॉग इन</code> आदेश दें और परिवर्तित कोड उत्पन्न करें जो न मात्र उपयोगकर्ता के सही पासवर्ड को स्वीकार करेगा, बल्कि हमलावर को ज्ञात अतिरिक्त [[पिछले दरवाजे (कंप्यूटिंग)| | |author1=Andrew Hay |author2=Daniel Cid |author3=Rory Bray|via=[[Google Books]] }}</ref> 1983 में [[ट्यूरिंग पुरस्कार]] प्राप्त करने पर दिए गए व्याख्यान में, [[बेल लैब्स]] के [[केन थॉम्पसन]], [[यूनिक्स]] के रचनाकारों में से एक, ने यूनिक्स वितरण में [[सी संकलक]] को नष्ट करने के बारे में सिद्धांत दिया और शोषण पर चर्चा की। संशोधित संकलक यूनिक्स को संकलित करने के प्रयासों का पता लगाएगा <code>लॉग इन</code> आदेश दें और परिवर्तित कोड उत्पन्न करें जो न मात्र उपयोगकर्ता के सही पासवर्ड को स्वीकार करेगा, बल्कि हमलावर को ज्ञात अतिरिक्त [[पिछले दरवाजे (कंप्यूटिंग)|बैक डोर]] का पासवर्ड भी होगा। इसके अतिरिक्त, कंपाइलर कंपाइलर के नए संस्करण को संकलित करने के प्रयासों का पता लगाएगा, और उसी कारनामे को नए कंपाइलर में सम्मिलित करेगा। के लिए स्रोत कोड की समीक्षा <code>लॉग इन</code> कमांड या अपडेटेड कंपाइलर किसी भी द्वेषपूर्ण कोड को प्रकट नहीं करेगा।<ref name="Turing Award Lecture">{{cite journal | ||
| journal=Communications of the ACM | | journal=Communications of the ACM | ||
| title=ट्रस्टिंग ट्रस्ट पर विचार| volume=27 | | title=ट्रस्टिंग ट्रस्ट पर विचार| volume=27 | ||
| Line 115: | Line 115: | ||
| url=http://www.tiscali.co.uk/news/newswire.php/news/reuters/2006/02/03/odd/34greekwatergate34scandalsendspoliticalshockwaves.html | | url=http://www.tiscali.co.uk/news/newswire.php/news/reuters/2006/02/03/odd/34greekwatergate34scandalsendspoliticalshockwaves.html | ||
| date=September 2012 | | date=September 2012 | ||
}}</ref> वोडाफोन [[यूनान]] नेटवर्क पर 100 से अधिक [[चल दूरभाष]] की अवैध [[टेलीफोन टैपिंग]] सम्मलित थी, जो ज्यादातर ग्रीस सरकार के सदस्यों और शीर्ष-श्रेणी के सिविल सेवकों के थे। उन्होंने अगस्त 2004 की | }}</ref> वोडाफोन [[यूनान]] नेटवर्क पर 100 से अधिक [[चल दूरभाष]] की अवैध [[टेलीफोन टैपिंग]] सम्मलित थी, जो ज्यादातर ग्रीस सरकार के सदस्यों और शीर्ष-श्रेणी के सिविल सेवकों के थे। उन्होंने अगस्त 2004 की प्रारंभ के पास शुरू हुए और अपराधियों की पहचान का पता लगाए बिना मार्च 2005 में हटा दिए गए। घुसपैठियों ने एरिक्सन के [[एक्स टेलीफोन एक्सचेंज]] को निशाना बनाते हुए रूटकिट स्थापित किया। IEEE स्पेक्ट्रम के अनुसार, यह पहली बार था जब किसी विशेष प्रयोजन प्रणाली पर रूटकिट देखा गया था, इस मामले में एरिक्सन टेलीफोन स्विच।<ref name="ieee">{{cite news|author1=Vassilis Prevelakis|author2=Diomidis Spinellis|date=July 2007|title=एथेंस मामला|url=https://spectrum.ieee.org/telecom/security/the-athens-affair/0}}</ref> रूटकिट को एक्सचेंज की मेमोरी को पैच करने के लिए डिज़ाइन किया गया था जब यह चल रहा था, ऑडिट लॉग को अक्षम करते हुए [[वायरटैपिंग]] को सक्षम करें, सक्रिय प्रक्रियाओं और सक्रिय डेटा ब्लॉक को सूचीबद्ध करने वाले कमांड को पैच करें और डेटा ब्लॉक [[अंततः,]] सत्यापन कमांड को संशोधित करें। बैकडोर ने ऑपरेटर को [[sysadmin|स्य्सएडमिन]] स्थिति के साथ एक्सचेंज के लेनदेन लॉग, अलार्म और निगरानी क्षमता से संबंधित एक्सेस कमांड को निष्क्रिय करने की अनुमति दी।<ref name="ieee"/>घुसपैठियों द्वारा दोषपूर्ण अद्यतन स्थापित करने के बाद रूटकिट की खोज की गई, जिसके कारण [[एसएमएस]] पाठ वितरित नहीं हो पाए, जिससे स्वचालित विफलता रिपोर्ट उत्पन्न हुई। एरिक्सन इंजीनियरों को गलती की जांच करने के लिए बुलाया गया और रूटकिट और अवैध निगरानी सॉफ्टवेयर के साथ निगरानी किए जा रहे फोन नंबरों की सूची वाले छिपे हुए डेटा ब्लॉक की खोज की। | ||
== उपयोग == | == उपयोग == | ||
आधुनिक रूटकिट पहुँच को उन्नत नहीं करते हैं,<ref name="Symantec"/>बल्कि चोरी छुपे क्षमताओं को जोड़कर और सॉफ़्टवेयर पेलोड को अनभिज्ञेय बनाने के लिए उपयोग किया जाता है।<ref name="Hoglund">{{cite book | आधुनिक रूटकिट पहुँच को उन्नत नहीं करते हैं,<ref name="Symantec"/> बल्कि चोरी छुपे क्षमताओं को जोड़कर और सॉफ़्टवेयर पेलोड को अनभिज्ञेय बनाने के लिए उपयोग किया जाता है।<ref name="Hoglund">{{cite book | ||
| url=https://books.google.com/books?id=fDxg1W3eT2gC | | url=https://books.google.com/books?id=fDxg1W3eT2gC | ||
| title=रूटकिट्स: विंडोज कर्नेल को सबवर्ट करना|author1=Greg Hoglund |author2=James Butler | publisher=Addison-Wesley | | title=रूटकिट्स: विंडोज कर्नेल को सबवर्ट करना|author1=Greg Hoglund |author2=James Butler | publisher=Addison-Wesley | ||
| Line 128: | Line 128: | ||
रूटकिट्स और उनके पेलोड के कई उपयोग हैं: | रूटकिट्स और उनके पेलोड के कई उपयोग हैं: | ||
*एक हमलावर को | *एक हमलावर को बैक डोर के माध्यम से पूर्ण पहुंच प्रदान करें,अनधिकृत पहुंच की अनुमति दें, उदाहरण के लिए, दस्तावेज़ों को चुराना या गलत करना। इसे पूरा करने के तरीकों में से लॉगिन तंत्र को हटाना है, जैसे कि यूनिक्स जैसी प्रणालियों पर / बिन / लॉगिन प्रोग्राम या विंडोज़ पर ग्राफिकल पहचान और [[प्रमाणीकरण]] है। प्रतिस्थापन सामान्य रूप से कार्य करता प्रतीत होता है, परंतु गुप्त लॉगिन संयोजन को भी स्वीकार करता है जो हमलावर को मानक प्रमाणीकरण और प्राधिकरण तंत्र को दरकिनार करते हुए प्रशासनिक विशेषाधिकारों के साथ सिस्टम तक सीधी पहुंच की अनुमति देता है। | ||
*अन्य मैलवेयर | *अन्य मैलवेयर, विशेष रूप से पासवर्ड-चोरी करने वाले [[कीस्ट्रोक लॉगिंग]] और कंप्यूटर वायरस है।<ref>{{cite journal | ||
|last = Russinovich | |last = Russinovich | ||
|first = Mark | |first = Mark | ||
| Line 441: | Line 441: | ||
}}</ref> कुछ महीनों बाद उन्हें पता चला कि कुछ लैपटॉप वैध रूटकिट के साथ बेचे जाते हैं, जिसे लैपटॉप के लिए एब्सोल्यूट [[कंप्यूट्रेस]] या एब्सोल्यूट लोजैक के रूप में जाना जाता है, जो कई BIOS छवियों में पहले से इंस्टॉल होता है। यह एंटी-[[लैपटॉप चोरी]] प्रौद्योगिकी प्रणाली है जिसे शोधकर्ताओं ने दिखाया है कि इसे द्वेषपूर्ण उद्देश्यों में बदल दिया जा सकता है।<ref name="Ortega" /> | }}</ref> कुछ महीनों बाद उन्हें पता चला कि कुछ लैपटॉप वैध रूटकिट के साथ बेचे जाते हैं, जिसे लैपटॉप के लिए एब्सोल्यूट [[कंप्यूट्रेस]] या एब्सोल्यूट लोजैक के रूप में जाना जाता है, जो कई BIOS छवियों में पहले से इंस्टॉल होता है। यह एंटी-[[लैपटॉप चोरी]] प्रौद्योगिकी प्रणाली है जिसे शोधकर्ताओं ने दिखाया है कि इसे द्वेषपूर्ण उद्देश्यों में बदल दिया जा सकता है।<ref name="Ortega" /> | ||
इंटेल सक्रिय प्रबंधन प्रौद्योगिकी, इंटेल vPro प्रबंधन का हिस्सा है, आउट-ऑफ़-बैंड प्रबंधन लागू करता है, प्रशासकों को [[दूरस्थ प्रशासन]], [[दूरस्थ अवसंरचना प्रबंधन]], और होस्ट प्रोसेसर या BIOS की भागीदारी के बिना पीसी के [[रिमोट डेस्कटॉप सॉफ्टवेयर]] देता है, तब भी जब सिस्टम बंद है। रिमोट प्रशासन में रिमोट पावर-अप और पावर-डाउन, रिमोट रीसेट, रीडायरेक्ट बूट, कंसोल रीडायरेक्शन, BIOS सेटिंग्स के लिए प्री-बूट एक्सेस, इनबाउंड और आउटबाउंड नेटवर्क ट्रैफिक के लिए प्रोग्राम करने योग्य फ़िल्टरिंग, एजेंट उपस्थिति जांच, आउट-ऑफ-बैंड नीति-आधारित सम्मलित हैं। अलर्टिंग, सिस्टम की जानकारी तक पहुंच, जैसे कि हार्डवेयर संपत्ति की जानकारी, लगातार इवेंट लॉग, और अन्य जानकारी जो समर्पित मेमोरी (हार्ड ड्राइव पर नहीं) में संग्रहीत होती है, जहां ओएस के डाउन होने या पीसी के बंद होने पर भी इसे एक्सेस किया जा सकता है। इनमें से कुछ कार्यों के लिए रूटकिट के गहनतम स्तर की आवश्यकता होती है, मुख्य कंप्यूटर के चारों ओर निर्मित दूसरा गैर-हटाने योग्य स्पाई कंप्यूटर। सैंडी ब्रिज और भविष्य के [[चिपसेट]] में 3जी के माध्यम से खोए या चोरी हुए पीसी को दूरस्थ रूप से खत्म करने और पुनर्स्थापित करने की क्षमता है। चिपसेट में निर्मित हार्डवेयर रूटकिट चोरी हुए कंप्यूटरों को पुनर्प्राप्त करने, डेटा को हटाने, या उन्हें बेकार करने में | इंटेल सक्रिय प्रबंधन प्रौद्योगिकी, इंटेल vPro प्रबंधन का हिस्सा है, आउट-ऑफ़-बैंड प्रबंधन लागू करता है, प्रशासकों को [[दूरस्थ प्रशासन]], [[दूरस्थ अवसंरचना प्रबंधन]], और होस्ट प्रोसेसर या BIOS की भागीदारी के बिना पीसी के [[रिमोट डेस्कटॉप सॉफ्टवेयर]] देता है, तब भी जब सिस्टम बंद है। रिमोट प्रशासन में रिमोट पावर-अप और पावर-डाउन, रिमोट रीसेट, रीडायरेक्ट बूट, कंसोल रीडायरेक्शन, BIOS सेटिंग्स के लिए प्री-बूट एक्सेस, इनबाउंड और आउटबाउंड नेटवर्क ट्रैफिक के लिए प्रोग्राम करने योग्य फ़िल्टरिंग, एजेंट उपस्थिति जांच, आउट-ऑफ-बैंड नीति-आधारित सम्मलित हैं। अलर्टिंग, सिस्टम की जानकारी तक पहुंच, जैसे कि हार्डवेयर संपत्ति की जानकारी, लगातार इवेंट लॉग, और अन्य जानकारी जो समर्पित मेमोरी (हार्ड ड्राइव पर नहीं) में संग्रहीत होती है, जहां ओएस के डाउन होने या पीसी के बंद होने पर भी इसे एक्सेस किया जा सकता है। इनमें से कुछ कार्यों के लिए रूटकिट के गहनतम स्तर की आवश्यकता होती है, मुख्य कंप्यूटर के चारों ओर निर्मित दूसरा गैर-हटाने योग्य स्पाई कंप्यूटर। सैंडी ब्रिज और भविष्य के [[चिपसेट]] में 3जी के माध्यम से खोए या चोरी हुए पीसी को दूरस्थ रूप से खत्म करने और पुनर्स्थापित करने की क्षमता है। चिपसेट में निर्मित हार्डवेयर रूटकिट चोरी हुए कंप्यूटरों को पुनर्प्राप्त करने, डेटा को हटाने, या उन्हें बेकार करने में सहायता कर सकते हैं, परंतु वे प्रबंधन या हैकर्स द्वारा नियंत्रण प्राप्त करने वाले गुप्त जासूसी और पुनर्निर्देशन की गोपनीयता और सुरक्षा चिंताओं को भी प्रस्तुत करते हैं। | ||
== स्थापना और क्लोकिंग == | == स्थापना और क्लोकिंग == | ||
रूटकिट्स सिस्टम पर नियंत्रण हासिल करने के लिए कई तरह की तकनीकों का प्रयुक्त करते हैं; रूटकिट का प्रकार अटैक वेक्टर की पसंद को प्रभावित करता है। गुप्त विशेषाधिकार वृद्धि को प्राप्त करने के लिए सबसे आम तकनीक भेद्यता का लाभ उठाती है। अन्य दृष्टिकोण [[ट्रोजन हॉर्स (कंप्यूटिंग)|ट्रोजन हॉर्स]] का उपयोग करना है, कंप्यूटर उपयोगकर्ता को रूटकिट के इंस्टॉलेशन प्रोग्राम को सौम्य मानने के लिए धोखा देना है - इस मामले में, सोशल इंजीनियरिंग (सुरक्षा) उपयोगकर्ता को आश्वस्त करती है कि रूटकिट लाभप्रद है।<ref name="UAMT"/>यदि [[कम से कम विशेषाधिकार का सिद्धांत]] लागू नहीं किया जाता है, तो स्थापना कार्य आसान हो जाता है, क्योंकि रूटकिट को तब स्पष्ट रूप से उन्नत (व्यवस्थापक-स्तर) विशेषाधिकारों का अनुरोध नहीं करना पड़ता है। रूटकिट के अन्य वर्ग मात्र लक्ष्य प्रणाली तक भौतिक पहुंच वाले किसी व्यक्ति द्वारा स्थापित किए जा सकते हैं। कुछ रूटकिट अभिप्रायपूर्वक सिस्टम के मालिक या मालिक द्वारा अधिकृत किसी व्यक्ति द्वारा भी स्थापित किए जा सकते हैं, उदा। [[कर्मचारी निगरानी]] के प्रयोजन के लिए, ऐसी विध्वंसक तकनीकों को अनावश्यक रूप से प्रतिपादित करना।<ref>{{cite book | रूटकिट्स सिस्टम पर नियंत्रण हासिल करने के लिए कई तरह की तकनीकों का प्रयुक्त करते हैं; रूटकिट का प्रकार अटैक वेक्टर की पसंद को प्रभावित करता है। गुप्त विशेषाधिकार वृद्धि को प्राप्त करने के लिए सबसे आम तकनीक भेद्यता का लाभ उठाती है। अन्य दृष्टिकोण [[ट्रोजन हॉर्स (कंप्यूटिंग)|ट्रोजन हॉर्स]] का उपयोग करना है, कंप्यूटर उपयोगकर्ता को रूटकिट के इंस्टॉलेशन प्रोग्राम को सौम्य मानने के लिए धोखा देना है - इस मामले में, सोशल इंजीनियरिंग (सुरक्षा) उपयोगकर्ता को आश्वस्त करती है कि रूटकिट लाभप्रद है।<ref name="UAMT"/> यदि [[कम से कम विशेषाधिकार का सिद्धांत]] लागू नहीं किया जाता है, तो स्थापना कार्य आसान हो जाता है, क्योंकि रूटकिट को तब स्पष्ट रूप से उन्नत (व्यवस्थापक-स्तर) विशेषाधिकारों का अनुरोध नहीं करना पड़ता है। रूटकिट के अन्य वर्ग मात्र लक्ष्य प्रणाली तक भौतिक पहुंच वाले किसी व्यक्ति द्वारा स्थापित किए जा सकते हैं। कुछ रूटकिट अभिप्रायपूर्वक सिस्टम के मालिक या मालिक द्वारा अधिकृत किसी व्यक्ति द्वारा भी स्थापित किए जा सकते हैं, उदा। [[कर्मचारी निगरानी]] के प्रयोजन के लिए, ऐसी विध्वंसक तकनीकों को अनावश्यक रूप से प्रतिपादित करना।<ref>{{cite book | ||
| title=पेशेवर रूटकिट्स| author=Ric Vieler | | title=पेशेवर रूटकिट्स| author=Ric Vieler | ||
| publisher=John Wiley & Sons | | publisher=John Wiley & Sons | ||
| Line 450: | Line 450: | ||
| isbn=9780470149546 | | isbn=9780470149546 | ||
| page=244 | | page=244 | ||
}}</ref> वितरण के लिए विशिष्ट पे-पर-इंस्टॉल (पीपीआई) | }}</ref> वितरण के लिए विशिष्ट पे-पर-इंस्टॉल (पीपीआई) क्षतिपूर्ति पद्धति के साथ कुछ द्वेषपूर्ण रूटकिट इंस्टॉलेशन व्यावसायिक रूप से संचालित होते हैं।<ref>{{cite web | ||
|url = http://www.eset.com/resources/white-papers/TDL3-Analysis.pdf | |url = http://www.eset.com/resources/white-papers/TDL3-Analysis.pdf | ||
|title = TDL3: The Rootkit of All Evil? | |title = TDL3: The Rootkit of All Evil? | ||
| Line 536: | Line 536: | ||
| publisher=[[SourceForge]] | | publisher=[[SourceForge]] | ||
| date=18 July 2009 | | date=18 July 2009 | ||
}}</ref> [[chkrootkit]], [[rkhunter]] और [[OSSEC]]। विंडोज के लिए, डिटेक्शन टूल में माइक्रोसॉफ्ट | }}</ref> [[chkrootkit]], [[rkhunter]] और [[OSSEC]]। विंडोज के लिए, डिटेक्शन टूल में माइक्रोसॉफ्ट सिसइंटर्नल्स रूटकिट रिवीलर सम्मलित है,<ref>{{cite web | ||
| url=https://technet.microsoft.com/en-us/sysinternals/bb897445.aspx | | url=https://technet.microsoft.com/en-us/sysinternals/bb897445.aspx | ||
| publisher=[[Microsoft]] | | publisher=[[Microsoft]] | ||
| Line 607: | Line 607: | ||
}}</ref>- चूंकि,पूर्व के मामले में, ऑपरेटिंग सिस्टम तंत्र जैसे मेमोरी रिलोकेशन या [[शिम (कम्प्यूटिंग)|शिम]] द्वारा कुछ वैध अंतर प्रस्तुत किए जा सकते हैं। रूटकिट इस तरह के अंतर-आधारित स्कैनर या वर्चुअल मशीन की उपस्थिति का पता लगा सकता है (बाद में सामान्यतः फोरेंसिक विश्लेषण करने के लिए उपयोग किया जाता है), और इसके व्यवहार को समायोजित कर सकता है जिससे कोई अंतर पता न चल सके। सोनी डीआरएम रूटकिट को खोजने के लिए [[रसिनोविच]] के रूटकिट रीवेलर टूल द्वारा अंतर-आधारित पहचान का उपयोग किया गया था।<ref name="McAfee1"/> | }}</ref>- चूंकि,पूर्व के मामले में, ऑपरेटिंग सिस्टम तंत्र जैसे मेमोरी रिलोकेशन या [[शिम (कम्प्यूटिंग)|शिम]] द्वारा कुछ वैध अंतर प्रस्तुत किए जा सकते हैं। रूटकिट इस तरह के अंतर-आधारित स्कैनर या वर्चुअल मशीन की उपस्थिति का पता लगा सकता है (बाद में सामान्यतः फोरेंसिक विश्लेषण करने के लिए उपयोग किया जाता है), और इसके व्यवहार को समायोजित कर सकता है जिससे कोई अंतर पता न चल सके। सोनी डीआरएम रूटकिट को खोजने के लिए [[रसिनोविच]] के रूटकिट रीवेलर टूल द्वारा अंतर-आधारित पहचान का उपयोग किया गया था।<ref name="McAfee1"/> | ||
=== अखंडता जांच === | === अखंडता जांच === | ||
[[File:Rkhunter on Mac OS X.png|thumb|right|Rhunter उपयोगिता [[SHA-1]] हैश का उपयोग सिस्टम फ़ाइलों की अखंडता को सत्यापित करने के लिए करती है।]][[कोड हस्ताक्षर]] सार्वजनिक-कुंजी अवसंरचना का उपयोग यह जांचने के लिए करता है कि किसी फ़ाइल को उसके प्रकाशक द्वारा डिजिटल हस्ताक्षर होने के बाद से संशोधित किया गया है या नहीं। वैकल्पिक रूप से, सिस्टम स्वामी या व्यवस्थापक स्थापना के समय फ़िंगरप्रिंट की गणना करने के लिए [[क्रिप्टोग्राफ़िक हैश फ़ंक्शन]] का उपयोग कर सकता है जो ऑन-डिस्क कोड लाइब्रेरी में बाद में अनधिकृत परिवर्तनों का पता लगाने में | [[File:Rkhunter on Mac OS X.png|thumb|right|Rhunter उपयोगिता [[SHA-1]] हैश का उपयोग सिस्टम फ़ाइलों की अखंडता को सत्यापित करने के लिए करती है।]][[कोड हस्ताक्षर]] सार्वजनिक-कुंजी अवसंरचना का उपयोग यह जांचने के लिए करता है कि किसी फ़ाइल को उसके प्रकाशक द्वारा डिजिटल हस्ताक्षर होने के बाद से संशोधित किया गया है या नहीं। वैकल्पिक रूप से, सिस्टम स्वामी या व्यवस्थापक स्थापना के समय फ़िंगरप्रिंट की गणना करने के लिए [[क्रिप्टोग्राफ़िक हैश फ़ंक्शन]] का उपयोग कर सकता है जो ऑन-डिस्क कोड लाइब्रेरी में बाद में अनधिकृत परिवर्तनों का पता लगाने में सहायता कर सकता है।<ref>{{cite web | ||
| url=https://msdn.microsoft.com/en-us/library/ms537364(VS.85).aspx | | url=https://msdn.microsoft.com/en-us/library/ms537364(VS.85).aspx | ||
| title=ऑथेंटिकोड के साथ कोड पर हस्ताक्षर करना और जांचना| publisher=[[Microsoft]] | | title=ऑथेंटिकोड के साथ कोड पर हस्ताक्षर करना और जांचना| publisher=[[Microsoft]] | ||
| Line 767: | Line 767: | ||
==बाहरी संबंध== | ==बाहरी संबंध== | ||
*{{Commonscatinline|Rootkits}} | *{{Commonscatinline|Rootkits}} | ||
Revision as of 14:32, 29 January 2023
रूटकिट सॉफ्टवेयर का संग्रह है, जो सामान्यतः द्वेषपूर्ण होता है, जिसे कंप्यूटर या इसके सॉफ़्टवेयर के क्षेत्र तक पहुंच को सक्षम बनाने के लिए डिज़ाइन किया गया है, जिसे अन्यथा अनुमति नहीं है (उदाहरण के लिए, अनधिकृत उपयोगकर्ता के लिए) और अधिकांशतः इसके अस्तित्व या अन्य सॉफ़्टवेयर के अस्तित्व को छुपाता है।[1] अर्थात रूटकिट सामान्यतः गलत उद्देश्यों को पूरा करने के लिए बनाया जाता है। इसे इस तरह से बनाया जाता है कि ये कम्प्युटर या उस क्षेत्र में ऐसे स्थान पर भी कार्य करता है, जिस स्थान पर सॉफ्टवेयर को आम तौर पर अनुमति नहीं होती है।शब्द रूटकिट "रूट" का यौगिक है (यूनिक्स-जैसे ऑपरेटिंग सिस्टम पर विशेषाधिकार प्राप्त अकाउंट का पारंपरिक नाम) और शब्द किट (जो उपकरण को लागू करने वाले सॉफ़्टवेयर घटकों को संदर्भित करता है)।[2] रूटकिट शब्द का मैलवेयर के साथ जुड़ाव के कारण नकारात्मक अर्थ है।[1]
रूटकिट इंस्टॉलेशन को स्वचालित किया जा सकता है, या हैकर (कंप्यूटर सुरक्षा) रूट या एडमिनिस्ट्रेटर एक्सेस प्राप्त करने के बाद इसे इंस्टॉल कर सकता है।[3] इस पहुंच को प्राप्त करना प्रणाली पर सीधे हमले का परिणाम है, अर्थात भेद्यता (जैसे विशेषाधिकार वृद्धि) या पासवर्ड (पासवर्ड क्रैकिंग या सोशल इंजीनियरिंग रणनीति जैसे "फ़िशिंग" द्वारा प्राप्त किया गया) बार इंस्टॉल हो जाने पर, घुसपैठ को छुपाना और साथ ही विशेषाधिकार प्राप्त पहुंच को बनाए रखना संभव हो जाता है। किसी सिस्टम पर पूर्ण नियंत्रण का अर्थ है कि विद्यमान सॉफ़्टवेयर को संशोधित किया जा सकता है, जिसमें वह सॉफ़्टवेयर भी सम्मलित है जो अन्यथा इसका पता लगाने या इसे रोकने के लिए उपयोग किया जा सकता है।
रूटकिट का पता लगाना कठिन है क्योंकि रूटकिट उस सॉफ़्टवेयर को नष्ट करने में सक्षम हो सकता है जो इसे खोजने का उद्देश्य रखता है। पता लगाने के तरीकों में वैकल्पिक और विश्वसनीय ऑपरेटिंग सिस्टम, व्यवहार-आधारित विधि, हस्ताक्षर स्कैनिंग, अंतर स्कैनिंग और मेमोरी डंप विश्लेषण का उपयोग करना सम्मलित है। हटाना जटिल या व्यावहारिक रूप से असंभव हो सकता है, विशेषकर उन स्थितियों में जहां रूटकिट कर्नेल (ऑपरेटिंग सिस्टम) में रहता है; ऑपरेटिंग सिस्टम की पुनर्स्थापना समस्या का एकमात्र उपलब्ध समाधान हो सकता है। फर्मवेयर रूटकिट के साथ काम करते समय, हटाने के लिए संगणक धातु सामग्री प्रतिस्थापन या विशेष उपकरण की आवश्यकता हो सकती है।