रूटकिट

From Vigyanwiki
श्रृंखला का हिस्सा
सूचना सुरक्षा
vectorial version
सुरक्षा संबंधित श्रेणियां
थ्रेट्स
डिफेंसेस

रूटकिट सॉफ्टवेयर का संग्रह है, जो सामान्यतः द्वेषपूर्ण होता है, जिसे कंप्यूटर या इसके सॉफ़्टवेयर के क्षेत्र तक पहुंच को सक्षम बनाने के लिए डिज़ाइन किया गया है, जिसे अन्यथा अनुमति नहीं है (उदाहरण के लिए, अनधिकृत उपयोगकर्ता के लिए) और अधिकांशतः इसके अस्तित्व या अन्य सॉफ़्टवेयर के अस्तित्व को छुपाता है।[1] अर्थात रूटकिट सामान्यतः गलत उद्देश्यों को पूरा करने के लिए बनाया जाता है। इसे इस तरह से बनाया जाता है कि ये कम्प्युटर या उस क्षेत्र में ऐसे स्थान पर भी कार्य करता है, जिस स्थान पर सॉफ्टवेयर को आम तौर पर अनुमति नहीं होती है।शब्द रूटकिट "रूट" का यौगिक है (यूनिक्स-जैसे ऑपरेटिंग सिस्टम पर विशेषाधिकार प्राप्त अकाउंट का पारंपरिक नाम) और शब्द किट (जो उपकरण को लागू करने वाले सॉफ़्टवेयर घटकों को संदर्भित करता है)।[2] रूटकिट शब्द का मैलवेयर के साथ जुड़ाव के कारण नकारात्मक अर्थ है।[1]

रूटकिट इंस्टॉलेशन को स्वचालित किया जा सकता है, या हैकर (कंप्यूटर सुरक्षा) रूट या एडमिनिस्ट्रेटर एक्सेस प्राप्त करने के बाद इसे इंस्टॉल कर सकता है।[3] इस पहुंच को प्राप्त करना प्रणाली पर सीधे हमले का परिणाम है, अर्थात भेद्यता (जैसे विशेषाधिकार वृद्धि) या पासवर्ड (पासवर्ड क्रैकिंग या सोशल इंजीनियरिंग रणनीति जैसे "फ़िशिंग" द्वारा प्राप्त किया गया) बार इंस्टॉल हो जाने पर, घुसपैठ को छुपाना और साथ ही विशेषाधिकार प्राप्त पहुंच को बनाए रखना संभव हो जाता है। किसी सिस्टम पर पूर्ण नियंत्रण का अर्थ है कि विद्यमान सॉफ़्टवेयर को संशोधित किया जा सकता है, जिसमें वह सॉफ़्टवेयर भी सम्मलित है जो अन्यथा इसका पता लगाने या इसे रोकने के लिए उपयोग किया जा सकता है।

रूटकिट का पता लगाना कठिन है क्योंकि रूटकिट उस सॉफ़्टवेयर को नष्ट करने में सक्षम हो सकता है जो इसे खोजने का उद्देश्य रखता है। पता लगाने के तरीकों में वैकल्पिक और विश्वसनीय ऑपरेटिंग सिस्टम, व्यवहार-आधारित विधि, हस्ताक्षर स्कैनिंग, अंतर स्कैनिंग और मेमोरी डंप विश्लेषण का उपयोग करना सम्मलित है। हटाना जटिल या व्यावहारिक रूप से असंभव हो सकता है, विशेषकर उन स्थितियों में जहां रूटकिट कर्नेल (ऑपरेटिंग सिस्टम) में रहता है; ऑपरेटिंग सिस्टम की पुनर्स्थापना समस्या का एकमात्र उपलब्ध समाधान हो सकता है। फर्मवेयर रूटकिट के साथ काम करते समय, हटाने के लिए संगणक धातु सामग्री प्रतिस्थापन या विशेष उपकरण की आवश्यकता हो सकती है।

इतिहास

शब्द रूटकिट या रूट किट मूल रूप से यूनिक्स जैसे ऑपरेटिंग सिस्टम के लिए प्रशासनिक उपकरणों के द्वेषपूर्ण रूप से संशोधित सेट को संदर्भित करता है जो सुपरयूजर एक्सेस प्रदान करता है।[4] यदि घुसपैठिया रूटकिट के साथ सिस्टम पर मानक प्रशासनिक उपकरण को बदल सकता है, तो घुसपैठिया वैध सिस्टम प्रशासक से इन गतिविधियों को छुपाते हुए सिस्टम पर रूट एक्सेस प्राप्त कर सकता है। ये पहली पीढ़ी के रूटकिट ओपन सोर्स ट्रिपवायर जैसे उपकरणों का उपयोग करके पता लगाने के लिए तुच्छ थे, जिन्हें समान जानकारी तक पहुंचने के लिए समझौता नहीं किया गया था।[5][6]लेन डेविस और स्टीवन डैक ने सन माइक्रोसिस्टम्स के SunOS UNIX ऑपरेटिंग सिस्टम के लिए 1990 में सबसे पहला ज्ञात रूटकिट लिखा था।[7] 1983 में ट्यूरिंग पुरस्कार प्राप्त करने पर दिए गए व्याख्यान में, बेल लैब्स के केन थॉम्पसन, यूनिक्स के रचनाकारों में से एक, ने यूनिक्स वितरण में सी संकलक को नष्ट करने के बारे में सिद्धांत दिया और शोषण पर चर्चा की। संशोधित संकलक यूनिक्स को संकलित करने के प्रयासों का पता लगाएगा लॉग इन आदेश दें और परिवर्तित कोड उत्पन्न करें जो न मात्र उपयोगकर्ता के सही पासवर्ड को स्वीकार करेगा, बल्कि हमलावर को ज्ञात अतिरिक्त बैक डोर का पासवर्ड भी होगा। इसके अतिरिक्त, कंपाइलर कंपाइलर के नए संस्करण को संकलित करने के प्रयासों का पता लगाएगा, और उसी कारनामे को नए कंपाइलर में सम्मिलित करेगा। के लिए स्रोत कोड की समीक्षा लॉग इन कमांड या अपडेटेड कंपाइलर किसी भी द्वेषपूर्ण कोड को प्रकट नहीं करेगा।[8] यह कारनामा रूटकिट के बराबर था।

व्यक्तिगत कंप्यूटर को लक्षित करने वाला पहला प्रलेखित कंप्यूटर वायरस, जिसे 1986 में खोजा गया था, ने स्वयं को छिपाने के लिए क्लोकिंग तकनीकों का उपयोग किया: ब्रेन वायरस ने प्रारंभिक क्षेत्र को पढ़ने के प्रयासों को रोका, और इन्हें डिस्क पर कहीं और पुनर्निर्देशित किया, जहां मूल बूट सेक्टर की प्रति रखी गई थी[1] समय के साथ, डॉस-वायरस क्लोकिंग विधियां अधिक परिष्कृत हो गईं। उन्नत तकनीकों में फाइलों में अनधिकृत संशोधनों को छिपाने के लिए लो-लेवल डिस्क INT 13H BIOS रुकावट डालना कॉल को हुक करना सम्मलित है।[1]

विंडोज एनटी ऑपरेटिंग सिस्टम के लिए पहला द्वेषपूर्ण रूटकिट 1999 में दिखाई दिया: एनटीआरओटकिट नामक ट्रोजन जिसे ग्रेग होगलंड द्वारा बनाया गया था।[9]इसके बाद 2003 में हैकर डिफेंडर द्वारा किया गया।[1]पहला रूटकिट लक्ष्यीकरण macOS 2009 में सामने आया,[10] जबकि स्टक्सनेट वर्म निर्देशयोग्य तर्क नियंत्रक्स (पीएलसी) को लक्षित करने वाला पहला था।[11]

सोनी बीएमजी कॉपी प्रोटेक्शन रूटकिट स्कैंडल

File:RootkitRevealer.png
रूटकिट रिवीलर का स्क्रीनशॉट, विस्तारित कॉपी सुरक्षा रूटकिट द्वारा छिपी हुई फाइलों को दिखा रहा है
Main article: सोनी बीएमजी कॉपी प्रोटेक्शन रूटकिट स्कैंडल

2005 में, Sony BMG ने कॉपी सुरक्षा और डिजिटल अधिकार प्रबंधन सॉफ़्टवेयर के साथ कॉम्पैक्ट डिस्क प्रकाशित की, जिसे विस्तारित कॉपी सुरक्षा कहा जाता है, जिसे सॉफ़्टवेयर कंपनी फ़र्स्ट 4 इंटरनेट द्वारा बनाया गया है। सॉफ्टवेयर में म्यूजिक प्लेयर सम्मलित था परंतु चुपचाप रूटकिट स्थापित किया गया था जो सीडी तक पहुंचने के लिए उपयोगकर्ता की क्षमता को सीमित करता था।[12] सॉफ्टवेयर इंजीनियर मार्क रोसिनोविच, जिन्होंने रूटकिट डिटेक्शन टूल रूटकिटरिवेलर बनाया था, ने अपने कंप्यूटर पर रूटकिट की खोज की।[1]आगामी घोटाले ने रूटकिट्स के बारे में जनता की जागरूकता बढ़ा दी।[13] स्वयं को छिपाने के लिए, रूटकिट उपयोगकर्ता को $sys$ से शुरू होने वाली किसी भी फ़ाइल से छुपाता है। रोसिनोविच की रिपोर्ट के तुरंत बाद, मैलवेयर सामने आया जिसने प्रभावित सिस्टम की भेद्यता का लाभ उठाया।[1]बीबीसी के विश्लेषक ने इसे जनसंपर्क दुःस्वप्न कहा।[14] सोनी बीएमजी ने रूटकिट को अनइंस्टॉलर करने के लिए पैच जारी किया, परंतु इसने उपयोगकर्ताओं को और भी गंभीर भेद्यता के लिए उजागर किया।[15] कंपनी ने अंततः सीडी को वापस बुला लिया। संयुक्त राज्य अमेरिका में, सोनी बीएमजी के खिलाफ क्लास-एक्शन मुकदमा लगाया था।[16]

ग्रीक वायरटैपिंग मामला 2004–05

Main article: ग्रीक वायरटैपिंग केस 2004-05

ग्रीक वायरटैपिंग मामला 2004–05, जिसे ग्रीक वाटरगेट भी कहा जाता है,[17] वोडाफोन यूनान नेटवर्क पर 100 से अधिक चल दूरभाष की अवैध टेलीफोन टैपिंग सम्मलित थी, जो ज्यादातर ग्रीस सरकार के सदस्यों और शीर्ष-श्रेणी के सिविल सेवकों के थे। उन्होंने अगस्त 2004 की प्रारंभ के पास शुरू हुए और अपराधियों की पहचान का पता लगाए बिना मार्च 2005 में हटा दिए गए। घुसपैठियों ने एरिक्सन के एक्स टेलीफोन एक्सचेंज को निशाना बनाते हुए रूटकिट स्थापित किया। IEEE स्पेक्ट्रम के अनुसार, यह पहली बार था जब किसी विशेष प्रयोजन प्रणाली पर रूटकिट देखा गया था, इस मामले में एरिक्सन टेलीफोन स्विच।[18] रूटकिट को एक्सचेंज की मेमोरी को पैच करने के लिए डिज़ाइन किया गया था जब यह चल रहा था, ऑडिट लॉग को अक्षम करते हुए वायरटैपिंग को सक्षम करें, सक्रिय प्रक्रियाओं और सक्रिय डेटा ब्लॉक को सूचीबद्ध करने वाले कमांड को पैच करें और डेटा ब्लॉक अंततः, सत्यापन कमांड को संशोधित करें। बैकडोर ने ऑपरेटर को स्य्सएडमिन स्थिति के साथ एक्सचेंज के लेनदेन लॉग, अलार्म और निगरानी क्षमता से संबंधित एक्सेस कमांड को निष्क्रिय करने की अनुमति दी।[18]घुसपैठियों द्वारा दोषपूर्ण अद्यतन स्थापित करने के बाद रूटकिट की खोज की गई, जिसके कारण एसएमएस पाठ वितरित नहीं हो पाए, जिससे स्वचालित विफलता रिपोर्ट उत्पन्न हुई। एरिक्सन इंजीनियरों को गलती की जांच करने के लिए बुलाया गया और रूटकिट और अवैध निगरानी सॉफ्टवेयर के साथ निगरानी किए जा रहे फोन नंबरों की सूची वाले छिपे हुए डेटा ब्लॉक की खोज की।

उपयोग

आधुनिक रूटकिट पहुँच को उन्नत नहीं करते हैं,[4] बल्कि चोरी छुपे क्षमताओं को जोड़कर और सॉफ़्टवेयर पेलोड को अनभिज्ञेय बनाने के लिए उपयोग किया जाता है।[9] अधिकांश रूटकिट को मालवेयर के रूप में वर्गीकृत किया जाता है, क्योंकि जिन पेलोड के साथ उन्हें बंडल किया जाता है वे द्वेषपूर्ण होते हैं। उदाहरण के लिए, पेलोड उपयोगकर्ता के पासवर्ड, क्रेडिट कार्ड की जानकारी, कंप्यूटिंग संसाधनों को गुप्त रूप से चुरा सकता है या अन्य अनधिकृत गतिविधियों का संचालन कर सकता है। रूटकिट की छोटी संख्या उनके उपयोगकर्ताओं द्वारा उपयोगिता अनुप्रयोगों के रूप में मानी जा सकती है: उदाहरण के लिए, रूटकिट सीडी रॉम-इम्यूलेशन ड्राइवर को लंबा कर सकता है, वीडियो गेम उपयोगकर्ताओं को एंटी-पाइरेसी उपायों को हराने की अनुमति देना, जिसके लिए मूल स्थापना मीडिया को भौतिक ऑप्टिकल ड्राइव में सम्मिलित करने की आवश्यकता होती है ताकि यह सत्यापित किया जा सके कि सॉफ़्टवेयर वैध रूप से खरीदा गया था।

रूटकिट्स और उनके पेलोड के कई उपयोग हैं:

  • एक हमलावर को बैक डोर के माध्यम से पूर्ण पहुंच प्रदान करें,अनधिकृत पहुंच की अनुमति दें, उदाहरण के लिए, दस्तावेज़ों को चुराना या गलत करना। इसे पूरा करने के तरीकों में से लॉगिन तंत्र को हटाना है, जैसे कि यूनिक्स जैसी प्रणालियों पर / बिन / लॉगिन प्रोग्राम या विंडोज़ पर ग्राफिकल पहचान और प्रमाणीकरण है। प्रतिस्थापन सामान्य रूप से कार्य करता प्रतीत होता है, परंतु गुप्त लॉगिन संयोजन को भी स्वीकार करता है जो हमलावर को मानक प्रमाणीकरण और प्राधिकरण तंत्र को दरकिनार करते हुए प्रशासनिक विशेषाधिकारों के साथ सिस्टम तक सीधी पहुंच की अनुमति देता है।
  • अन्य मैलवेयर, विशेष रूप से पासवर्ड-चोरी करने वाले कीस्ट्रोक लॉगिंग और कंप्यूटर वायरस है।[19]
  • अन्य कंप्यूटरों पर हमलों के लिए समझौता मशीन को ज़ोंबी कंप्यूटर के रूप में उपयुक्त करें। (हमला हमलावर के सिस्टम के अतिरिक्त समझौता किए गए सिस्टम या नेटवर्क से उत्पन्न होता है।) ज़ोंबी कंप्यूटर सामान्यतः बड़े बॉटनेट्स के सदस्य होते हैं जो अन्य चीजों के साथ-डिनायल-ऑफ-सर्विस हमलों को लॉन्च कर सकते हैं, ईमेल स्पैम वितरित करें, और क्लिक धोखाधड़ी करें।[20]

कुछ उदाहरणों में, रूटकिट वांछित कार्यक्षमता प्रदान करता है, और कंप्यूटर उपयोगकर्ता की ओर से अभिप्रायपूर्वक स्थापित किया जा सकता है:

  • हमलों का पता लगाएं, उदाहरण के लिए, हनीपोट में।[21]
  • एमुलेशन सॉफ्टवेयर और सुरक्षा सॉफ्टवेयर को बेहतर बनाएं।[22] एल्कोहल 120% और डेमोन टूल्स गैर-विरोधी रूटकिट के व्यावसायिक उदाहरण हैं जिनका उपयोग SafeDisc और SecuROM जैसे कॉपी-प्रोटेक्शन मैकेनिज्म को हराने के लिए किया जाता है।[23] कैसपर्सकी एंटी-वायरस स्वयं को द्वेषपूर्ण कार्यों से बचाने के लिए रूटकिट जैसी तकनीकों का भी उपयोग करता है। यह सिस्टम गतिविधि को बाधित करने के लिए अपने स्वयं के डिवाइस ड्राइवर को लोड करता है, और फिर अन्य प्रक्रियाओं को स्वयं को नुकसान पहुँचाने से रोकता है। इसकी प्रक्रियाएँ छिपी नहीं हैं, परंतु मानक विधियों द्वारा समाप्त नहीं की जा सकती हैं।
  • एंटी-थेफ्ट प्रोटेक्शन: लैपटॉप में BIOS-आधारित रूटकिट सॉफ्टवेयर हो सकता है जो समय-समय पर केंद्रीय प्राधिकरण को रिपोर्ट करेगा, जिससे लैपटॉप की निगरानी की जा सकेगी, चोरी होने की स्थिति में सूचना को अक्षम या मिटा दिया जा सकेगा।[24]
  • माइक्रोसॉफ्ट उत्पाद सक्रियण को दरकिनार करना[25]

प्रकार

Further information: रिंग (कंप्यूटर सुरक्षा)

रूटकिट कम से कम 69 प्रकार के रूटकिट हैं, फ़र्मवेयर में निम्नतम स्तर (उच्चतम विशेषाधिकारों के साथ) से लेकर कर्नेल में संचालित होने वाले कम से कम विशेषाधिकार प्राप्त उपयोगकर्ता-आधारित वेरिएंट तक। इनमें से हाइब्रिड संयोजन फैले हुए हो सकते हैं, उदाहरण के लिए, उपयोगकर्ता मोड और कर्नेल मोड।[26]

उपयोगकर्ता मोड

रिंग -1 नहीं दिखाया गया है)

उपयोक्ता-मोड रूटकिट रिंग में चलते हैं, अन्य अनुप्रयोगों के साथ-साथ निम्न-स्तरीय सिस्टम प्रक्रियाओं के अतिरिक्त उपयोगकर्ता के रूप में अन्य अनुप्रयोगों के साथ, रिंग 3 में चलते हैं।[27]एप्लिकेशन प्रोग्रामिंग इंटरफेस (एपीआई) के मानक व्यवहार को रोकने और संशोधित करने के लिए उनके पास कई संभावित इंस्टॉलेशन वैक्टर हैं। कुछ अन्य प्रक्रियाओं में गतिशील लिंकर लाइब्रेरी (जैसे विंडोज़ पर डायनेमिक-लिंक लाइब्रेरी .DLL फ़ाइल, या macOS पर .dylib फ़ाइल ) इंजेक्ट करते हैं, और इस प्रकार किसी भी लक्षित प्रक्रिया के अंदर इसे धोखा देने के लिए निष्पादित करने में सक्षम हैं; अन्य पर्याप्त विशेषाधिकारों के साथ लक्ष्य अनुप्रयोग की स्मृति को अधिलेखित कर देते हैं इनमें इंजेक्शन तंत्र में सम्मलित हैं:[27]

विक्रेता द्वारा आपूर्ति किए गए एप्लिकेशन एक्सटेंशन का उपयोग। उदाहरण के लिए, विंडोज़ एक्सप्लोरर में सार्वजनिक इंटरफेस हैं जो तीसरे पक्ष को इसकी कार्यक्षमता बढ़ाने की अनुमति देते हैं।

  • संदेश पारित करने का अवरोधन।
  • डिबगर्स।
  • भेद्यता का शोषण ।

  • ... चूंकि उपयोगकर्ता मोड एप्लिकेशन सभी अपने स्वयं के मेमोरी स्पेस में चलते हैं, रूटकिट को प्रत्येक चल रहे एप्लिकेशन के मेमोरी स्पेस में इस पैचिंग को करने की आवश्यकता होती है। इसके अलावा, रूटकिट को किसी भी नए एप्लिकेशन के लिए सिस्टम की निगरानी करने की आवश्यकता होती है जो पूरी तरह से निष्पादित होने से पहले उन प्रोग्रामों की मेमोरी स्पेस को निष्पादित और पैच करता है।

    — विंडोज रूटकिट अवलोकन, Symantec[4]
    सामान्यतः उपयोग किए जाने वाले एपीआई के फंक्शन हुकिंग या पैचिंग, उदाहरण के लिए, फाइल सिस्टम पर चलने वाली प्रक्रिया या फाइल को छिपाने के लिए।[28]

कर्नेल मोड

कर्नेल-मोड रूटकिट उच्चतम ऑपरेटिंग सिस्टम विशेषाधिकारों (रिंग) के साथ कोड जोड़कर या कर्नेल (कंप्यूटर विज्ञान) और संबंधित डिवाइस ड्राइवर दोनों सहित कोर ऑपरेटिंग सिस्टम के भागों को बदलकर चलते हैं।[citation needed] अधिकांश ऑपरेटिंग सिस्टम कर्नेल-मोड डिवाइस ड्राइवरों का समर्थन करते हैं, जो ऑपरेटिंग सिस्टम के समान विशेषाधिकारों के साथ निष्पादित होते हैं। जैसे, कई कर्नेल-मोड रूटकिट डिवाइस ड्राइवर या लोड करने योग्य मॉड्यूल के रूप में विकसित किए जाते हैं, जैसे लिनक्स में मॉड्यूल (लिनक्स) या माइक्रोसॉफ़्ट विंडोज़ में डिवाइस ड्राइवर। रूटकिट के इस वर्ग के पास अप्रतिबंधित सुरक्षा पहुंच है, परंतु लिखना अधिक कठिन है।[29]जटिलता बग को सामान्य बनाती है, और कर्नेल स्तर पर संचालन करने वाले कोड में कोई भी बग सिस्टम स्थिरता को गंभीर रूप से प्रभावित कर सकता है, जिससे रूटकिट की खोज हो सकती है।[29]पहले व्यापक रूप से ज्ञात कर्नेल रूटकिट्स में से को विंडोज एनटी 4.0 के लिए विकसित किया गया था और 1999 में ग्रेग होगलंड द्वारा फ्रैक पत्रिका में जारी किया गया था।[30][31] कर्नेल रूटकिट्स का पता लगाना और हटाना विशेष रूप से कठिन हो सकता है क्योंकि वे उसी रिंग (कंप्यूटर सुरक्षा) पर ऑपरेटिंग सिस्टम के रूप में काम करते हैं, और इस प्रकार सबसे भरोसेमंद ऑपरेटिंग सिस्टम संचालन को बाधित या उलटने में सक्षम होते हैं। कोई भी सॉफ़्टवेयर, जैसे एंटीवायरस सॉफ्टवेयर, समझौता किए गए सिस्टम पर चल रहा है, समान रूप से असुरक्षित है।[32] ऐसी स्थिति में व्यवस्था के किसी भी अंग पर विश्वास नहीं किया जा सकता।

एक रूटकिट डायरेक्ट कर्नेल ऑब्जेक्ट मैनिपुलेशन (डीकेओएम) नामक विधि का उपयोग करके विंडोज कर्नेल में डेटा संरचनाओं को संशोधित कर सकता है।[33] इस विधि का उपयोग प्रक्रियाओं को छिपाने के लिए किया जा सकता है। कर्नेल मोड रूटकिट सिस्टम सर्विस डिस्क्रिप्टर टेबल (एसएसडीटी) को भी हुक कर सकता है, या स्वयं को छिपाने के लिए उपयोगकर्ता मोड और कर्नेल मोड के बीच गेट्स को संशोधित कर सकता है।[4]इसी प्रकार लिनक्स ऑपरेटिंग सिस्टम के लिए, रूटकिट कर्नेल कार्यक्षमता को हटाने के लिए सिस्टम कॉल टेबल को संशोधित कर सकता है।[34][35] यह सामान्य है कि रूटकिट छिपी हुई, एन्क्रिप्टेड फाइल सिस्टम बनाता है जिसमें यह अन्य मैलवेयर या संक्रमित फाइलों की मूल प्रतियों को छुपा सकता है।[36] ऑपरेटिंग सिस्टम कर्नेल-मोड रूटकिट्स के खतरे का मुकाबला करने के लिए विकसित हो रहे हैं। उदाहरण के लिए, माइक्रोसॉफ्ट विंडोज के 64-बिट संस्करण अब सभी कर्नेल-स्तरीय ड्राइवरों के अनिवार्य हस्ताक्षर को लागू करते हैं जिससे अविश्वसनीय कोड को सिस्टम में उच्चतम विशेषाधिकारों के साथ निष्पादित करना अधिक कठिन हो सके।[37]

बूटकिट्स

कर्नेल-मोड रूटकिट वेरिएंट जिसे बूटकिट कहा जाता है, मास्टर बूट दस्तावेज़ (एमबीआर), वॉल्यूम बूट रिकॉर्ड (वीबीआर), या बूट सेक्टर जैसे स्टार्टअप कोड को संक्रमित कर सकता है, और इस तरह पूर्ण डिस्क एन्क्रिप्शन सिस्टम पर हमला करने के लिए प्रयुक्त किया जा सकता है।[38] डिस्क एन्क्रिप्शन पर इस तरह के हमले का उदाहरण दुष्ट नौकरानी का हमला है, जिसमें हमलावर उपेक्षित कंप्यूटर पर बूटकिट स्थापित करता है। परिकल्पित परिदृश्य होटल के उस कमरे में घुसने वाली नौकरानी है जहाँ पीड़ितों ने अपना हार्डवेयर छोड़ा था।[39] बूटकिट उनके नियंत्रण में वैध बूटिंग को बदल देता है। सामान्यतः मैलवेयर लोडर सुरक्षित मोड में संक्रमण के माध्यम से बना रहता है जब कर्नेल लोड हो जाता है, और इस प्रकार कर्नेल को नष्ट करने में सक्षम होता है।[40][41][42] उदाहरण के लिए, स्टोन्ड बूटकिट एन्क्रिप्शन कुंजी और पासवर्ड को इंटरसेप्ट करने के लिए समझौता बूटिंग का उपयोग करके सिस्टम को उलट देता है।[43][self-published source?] 2010 में, एल्यूरॉन रूटकिट ने मास्टर बूट दस्तावेज़ को संशोधित करके विंडोज 7 में 64-बिट कर्नेल-मोड ड्राइवर साइन इन करने की आवश्यकता को सफलतापूर्वक हटा दिया है।[44] यद्यपि उपयोगकर्ता कुछ ऐसा करने के अर्थ में मैलवेयर नहीं है जो उपयोगकर्ता नहीं चाहता है, कुछ विस्टा लोडर या विंडोज लोडर सॉफ़्टवेयर रैम-कैश संस्करण में उन्नत कॉन्फ़िगरेशन और पावर इंटरफेस एसएलआईसी (सिस्टम लाइसेंस प्राप्त आंतरिक कोड) तालिका को इंजेक्ट करके समान विधि से काम करते हैं। माइक्रोसॉफ्टउत्पाद सक्रियण को विफल करने के लिए बूट के दौरान BIOS का।[citation needed] हमले के इस वेक्टर को विंडोज 8 के (गैर-सर्वर) संस्करणों में बेकार कर दिया गया था, जो प्रत्येक सिस्टम के लिए अद्वितीय, मशीन-विशिष्ट कुंजी का उपयोग करते हैं, जिसका उपयोग मात्र उस मशीन द्वारा किया जा सकता है।[45] कई एंटीवायरस कंपनियां बूटकिट्स को हटाने के लिए मुफ्त उपयोगिताओं और प्रोग्राम प्रदान करती हैं।

सूत्र स्तर

अवधारणा के प्रमाण के रूप में शिक्षा जगत में रूटकिट्स को टाइप II हाइपरविजर के रूप में बनाया गया है। इंटेल वी.टी या एएमडी-वी जैसे हार्डवेयर वर्चुअलाइजेशन सुविधाओं का दोहन करके, इस प्रकार का रूटकिट रिंग -1 में चलता है और लक्ष्य ऑपरेटिंग सिस्टम को आभासी मशीन के रूप में होस्ट करता है, जिससे रूटकिट को मूल ऑपरेटिंग सिस्टम द्वारा किए गए हार्डवेयर कॉल को इंटरसेप्ट करने में सक्षम बनाता है।[6] सामान्य हाइपरविजर के विपरीत, उन्हें ऑपरेटिंग सिस्टम से पहले लोड नहीं करना पड़ता है, परंतु वर्चुअल मशीन में इसे बढ़ावा देने से पहले ऑपरेटिंग सिस्टम में लोड कर सकते हैं।[6]एक हाइपरविजर रूटकिट को लक्ष्य को हटाने के लिए लक्ष्य के कर्नेल में कोई संशोधन नहीं करना पड़ता है; चूंकि, इसका मतलब यह नहीं है कि अतिथि ऑपरेटिंग सिस्टम द्वारा इसका पता नहीं लगाया जा सकता है। उदाहरण के लिए, केंद्रीय प्रसंस्करण इकाई के निर्देशों में समय के अंतर का पता लगाया जा सकता है।[6]माइक्रोसॉफ्टऔर मिशिगन विश्वविद्यालय के शोधकर्ताओं द्वारा संयुक्त रूप से विकसित सबवर्ट प्रयोगशाला रूटकिट, वर्चुअल-मशीन-आधारित रूटकिट (VMBR) का अकादमिक उदाहरण है,[46]जबकि ब्लू पिल सॉफ्टवेयर दूसरा है। 2009 में, माइक्रोसॉफ्ट और उत्तरी कैरोलिना स्टेट यूनिवर्सिटी के शोधकर्ताओं ने हुकसेफ नामक हाइपरवाइजर-लेयर एंटी-रूटकिट का प्रदर्शन किया, जो कर्नेल-मोड रूटकिट्स के खिलाफ सामान्य सुरक्षा प्रदान करता है।[47] विंडोज 10 ने डिवाइस गार्ड नामक नई सुविधा प्रस्तुत की, जो रूटकिट-प्रकार के मैलवेयर के खिलाफ ऑपरेटिंग सिस्टम की स्वतंत्र बाहरी सुरक्षा प्रदान करने के लिए वर्चुअलाइजेशन का लाभ उठाती है।[48]

फर्मवेयर और हार्डवेयर

एक फर्मवेयर रूटकिट डिवाइस या प्लेटफॉर्म फर्मवेयर का उपयोग हार्डवेयर में स्थायी मैलवेयर छवि बनाने के लिए करता है, जैसे राउटर , नेटवर्क इंटरफ़ेस नियंत्रक,[49] हार्ड डिस्क ड्राइव, या सिस्टम BIOS[27][50] रूटकिट फर्मवेयर में छुपा रहता है, क्योंकि कोड अखंडता के लिए फर्मवेयर का सामान्यतः निरीक्षण नहीं किया जाता है। जॉन हेसमैन ने उन्नत कॉन्फ़िगरेशन और पावर इंटरफ़ेस फ़र्मवेयर रूटीन दोनों में फ़र्मवेयर रूटकिट की व्यवहार्यता का प्रदर्शन किया[51] और पारंपरिक पीसीआई विस्तार कार्ड में रीड रीड ऑनली मैमोरी[52] अक्टूबर 2008 में, अपराधियों ने यूरोपीय क्रेडिट-कार्ड-रीडिंग मशीनों को स्थापित करने से पहले उनके साथ छेड़छाड़ की। उपकरणों ने मोबाइल फोन नेटवर्क के माध्यम से क्रेडिट कार्ड के विवरण को इंटरसेप्ट किया और प्रसारित किया।[53] मार्च 2009 में, शोधकर्ताओं अल्फ्रेडो ओर्टेगा और अनिबल सैको ने BIOS-स्तरीय विंडोज रूटकिट का विवरण प्रकाशित किया जो डिस्क प्रतिस्थापन और ऑपरेटिंग सिस्टम री-इंस्टॉलेशन से बचने में सक्षम था।[54][55][56] कुछ महीनों बाद उन्हें पता चला कि कुछ लैपटॉप वैध रूटकिट के साथ बेचे जाते हैं, जिसे लैपटॉप के लिए एब्सोल्यूट कंप्यूट्रेस या एब्सोल्यूट लोजैक के रूप में जाना जाता है, जो कई BIOS छवियों में पहले से इंस्टॉल होता है। यह एंटी-लैपटॉप चोरी प्रौद्योगिकी प्रणाली है जिसे शोधकर्ताओं ने दिखाया है कि इसे द्वेषपूर्ण उद्देश्यों में बदल दिया जा सकता है।[24]

इंटेल सक्रिय प्रबंधन प्रौद्योगिकी, इंटेल vPro प्रबंधन का हिस्सा है, आउट-ऑफ़-बैंड प्रबंधन लागू करता है, प्रशासकों को दूरस्थ प्रशासन, दूरस्थ अवसंरचना प्रबंधन, और होस्ट प्रोसेसर या BIOS की भागीदारी के बिना पीसी के रिमोट डेस्कटॉप सॉफ्टवेयर देता है, तब भी जब सिस्टम बंद है। रिमोट प्रशासन में रिमोट पावर-अप और पावर-डाउन, रिमोट रीसेट, रीडायरेक्ट बूट, कंसोल रीडायरेक्शन, BIOS सेटिंग्स के लिए प्री-बूट एक्सेस, इनबाउंड और आउटबाउंड नेटवर्क ट्रैफिक के लिए प्रोग्राम करने योग्य फ़िल्टरिंग, एजेंट उपस्थिति जांच, आउट-ऑफ-बैंड नीति-आधारित सम्मलित हैं। अलर्टिंग, सिस्टम की जानकारी तक पहुंच, जैसे कि हार्डवेयर संपत्ति की जानकारी, लगातार इवेंट लॉग, और अन्य जानकारी जो समर्पित मेमोरी (हार्ड ड्राइव पर नहीं) में संग्रहीत होती है, जहां ओएस के डाउन होने या पीसी के बंद होने पर भी इसे एक्सेस किया जा सकता है। इनमें से कुछ कार्यों के लिए रूटकिट के गहनतम स्तर की आवश्यकता होती है, मुख्य कंप्यूटर के चारों ओर निर्मित दूसरा गैर-हटाने योग्य स्पाई कंप्यूटर। सैंडी ब्रिज और भविष्य के चिपसेट में 3जी के माध्यम से खोए या चोरी हुए पीसी को दूरस्थ रूप से खत्म करने और पुनर्स्थापित करने की क्षमता है। चिपसेट में निर्मित हार्डवेयर रूटकिट चोरी हुए कंप्यूटरों को पुनर्प्राप्त करने, डेटा को हटाने, या उन्हें बेकार करने में सहायता कर सकते हैं, परंतु वे प्रबंधन या हैकर्स द्वारा नियंत्रण प्राप्त करने वाले गुप्त जासूसी और पुनर्निर्देशन की गोपनीयता और सुरक्षा चिंताओं को भी प्रस्तुत करते हैं।

स्थापना और क्लोकिंग

रूटकिट्स सिस्टम पर नियंत्रण हासिल करने के लिए कई तरह की तकनीकों का प्रयुक्त करते हैं; रूटकिट का प्रकार अटैक वेक्टर की पसंद को प्रभावित करता है। गुप्त विशेषाधिकार वृद्धि को प्राप्त करने के लिए सबसे आम तकनीक भेद्यता का लाभ उठाती है। अन्य दृष्टिकोण ट्रोजन हॉर्स का उपयोग करना है, कंप्यूटर उपयोगकर्ता को रूटकिट के इंस्टॉलेशन प्रोग्राम को सौम्य मानने के लिए धोखा देना है - इस मामले में, सोशल इंजीनियरिंग (सुरक्षा) उपयोगकर्ता को आश्वस्त करती है कि रूटकिट लाभप्रद है।[29] यदि कम से कम विशेषाधिकार का सिद्धांत लागू नहीं किया जाता है, तो स्थापना कार्य आसान हो जाता है, क्योंकि रूटकिट को तब स्पष्ट रूप से उन्नत (व्यवस्थापक-स्तर) विशेषाधिकारों का अनुरोध नहीं करना पड़ता है। रूटकिट के अन्य वर्ग मात्र लक्ष्य प्रणाली तक भौतिक पहुंच वाले किसी व्यक्ति द्वारा स्थापित किए जा सकते हैं। कुछ रूटकिट अभिप्रायपूर्वक सिस्टम के मालिक या मालिक द्वारा अधिकृत किसी व्यक्ति द्वारा भी स्थापित किए जा सकते हैं, उदा। कर्मचारी निगरानी के प्रयोजन के लिए, ऐसी विध्वंसक तकनीकों को अनावश्यक रूप से प्रतिपादित करना।[57] वितरण के लिए विशिष्ट पे-पर-इंस्टॉल (पीपीआई) क्षतिपूर्ति पद्धति के साथ कुछ द्वेषपूर्ण रूटकिट इंस्टॉलेशन व्यावसायिक रूप से संचालित होते हैं।[58][59] बार इंस्टॉल हो जाने के बाद, रूटकिट निदान, स्कैनिंग और निगरानी के लिए उपयोग किए जाने वाले मानक ऑपरेटिंग सिस्टम कंप्यूटर सुरक्षा उपकरण और अप्लिकेशन प्रोग्रामिंग अंतरफलक (एपीआई) के विचलन या चोरी के माध्यम से मेजबान सिस्टम के अंतर्गत अपनी उपस्थिति को अस्पष्ट करने के लिए सक्रिय उपाय करता है।[60] रूटकिट्स रिंग (कंप्यूटर सुरक्षा) के व्यवहार को अन्य प्रक्रियाओं में लोडिंग कोड, डिवाइस ड्राइवर की स्थापना या संशोधन, या लोड करने योग्य कर्नेल मॉड्यूल के माध्यम से संशोधित करके इसे प्राप्त करते हैं। अस्पष्टीकरण तकनीकों में सिस्टम-निगरानी तंत्र से चल रही प्रक्रियाओं को छुपाना और सिस्टम फ़ाइलों और अन्य कॉन्फ़िगरेशन डेटा को छुपाना सम्मलित है।[61] किसी हमले के साक्ष्य को छिपाने के प्रयास में, रूटकिट के लिए ऑपरेटिंग सिस्टम की इवेंट लॉगिंग क्षमता को अक्षम करना असामान्य नहीं है। रूटकिट्स, सिद्धांत रूप में, किसी भी ऑपरेटिंग सिस्टम की गतिविधियों को उलट सकते हैं।[62]संपूर्ण रूटकिट को संपूर्ण अपराध के समान माना जा सकता है: ऐसा अपराध जिसे किसी को पता ही नहीं चलता है। रूटकिट्स सामान्यतः रिंग 0 (कर्नेल-मोड) में स्थापित करने के अतिरिक्त एंटीवायरस सॉफ़्टवेयर द्वारा पता लगाने और सफाई के खिलाफ अपने अस्तित्व को सुनिश्चित करने के लिए कई उपाय भी करते हैं, जहां उनके पास सिस्टम तक पूरी पहुंच होती है। इनमें बहुरूपी कोड सम्मलित हैं (बदलना जिससे उनके हस्ताक्षर का पता लगाना कठिन हो), चुपके तकनीक, पुनर्जनन, एंटी-मैलवेयर सॉफ़्टवेयर को अक्षम या बंद करना,[63] और आभासी मशीनों पर स्थापित नहीं करना जहाँ शोधकर्ताओं के लिए उन्हें खोजना और उनका विश्लेषण करना आसान हो सकता है।

जांच

रूटकिट डिटेक्शन के साथ मूलभूत समस्या यह है कि यदि ऑपरेटिंग सिस्टम को विकृत कर दिया गया है, विशेष रूप से कर्नेल-स्तरीय रूटकिट द्वारा, तो इस पर स्वयं या इसके घटकों में अनधिकृत संशोधन खोजने के लिए भरोसा नहीं किया जा सकता है।[62] चल रही प्रक्रियाओं की सूची, या निर्देशिका में फ़ाइलों की सूची का अनुरोध करने जैसी कार्रवाइयों पर अपेक्षा के अनुरूप व्यवहार करने के लिए भरोसा नहीं किया जा सकता है। दूसरे शब्दों में, रूटकिट डिटेक्टर जो संक्रमित सिस्टम पर चलते समय काम करते हैं, मात्र रूटकिट के खिलाफ प्रभावी होते हैं जिनके छलावरण में कुछ दोष होते हैं, या जो कर्नेल में डिटेक्शन सॉफ़्टवेयर की तुलना में कम उपयोगकर्ता-मोड विशेषाधिकारों के साथ चलते हैं।[29] कंप्यूटर वायरस की तरह, रूटकिट का पता लगाना और हटाना इस संघर्ष के दोनों पक्षों के बीच सतत संघर्ष है।[62]डिटेक्शन कई अलग-अलग दृष्टिकोण अपना सकता है, जिसमें वायरस सिग्नेचर (जैसे एंटीवायरस सॉफ़्टवेयर), इंटीग्रिटी चेकिंग (जैसे अंगुली का हस्ताक्षर), अंतर-आधारित डिटेक्शन (अपेक्षित बनाम वास्तविक परिणामों की तुलना), और व्यवहारिक डिटेक्शन (जैसे मॉनिटरिंग CPU उपयोग) सम्मलित हैं या नेटवर्क ट्रैफ़िक)।

कर्नेल-मोड रूटकिट्स के लिए, पता लगाना काफी अधिक जटिल है, हुकिंग की तलाश के लिए सिस्टम कॉल टेबल की सावधानीपूर्वक जांच की आवश्यकता होती है जहां मैलवेयर सिस्टम व्यवहार को नष्ट कर सकता है,[64] साथ ही छिपी हुई प्रक्रियाओं को इंगित करने वाले पैटर्न के लिए मेमोरी की फोरेंसिक स्कैनिंग। यूनिक्स रूटकिट डिटेक्शन जिसमें ज़ेप्पू सम्मलित हैं,[65] chkrootkit, rkhunter और OSSEC। विंडोज के लिए, डिटेक्शन टूल में माइक्रोसॉफ्ट सिसइंटर्नल्स रूटकिट रिवीलर सम्मलित है,[66] अवास्ट सॉफ्टवेयर,[67] सोफोस एंटी-रूटकिट,[68] एफ-सुरक्षित,[69] रैडिक्स,[70] जीएमईआर,[71] और विंडोज़स्कोप। कोई भी रूटकिट डिटेक्टर जो प्रभावी सिद्ध होता है, अंततः अपनी स्वयं की अप्रभाविता में योगदान देता है, क्योंकि मैलवेयर लेखक अच्छी तरह से उपयोग किए जाने वाले टूल द्वारा पता लगाने से बचने के लिए अपने कोड को अनुकूलित और परीक्षण करते हैं।[Notes 1] संदिग्ध ऑपरेटिंग सिस्टम चालू नहीं होने पर भंडारण की जांच करके जांच सॉफ़्टवेयर द्वारा मान्यता प्राप्त रूटकिट को याद नहीं किया जा सकता है, क्योंकि रूटकिट सक्रिय नहीं है और संदिग्ध व्यवहार को दबा दिया गया है; रूटकिट ऑपरेशनल के साथ चलने वाला पारंपरिक एंटी-मैलवेयर सॉफ़्टवेयर विफल हो सकता है यदि रूटकिट स्वयं को प्रभावी ढंग से छुपाता है।

वैकल्पिक विश्वसनीय माध्यम

ऑपरेटिंग-सिस्टम-लेवल रूटकिट डिटेक्शन के लिए सबसे अच्छा और सबसे विश्वसनीय तरीका संक्रमण के संदेह वाले कंप्यूटर को बंद करना है, और फिर वैकल्पिक विश्वसनीय माध्यम (जैसे बचाव सीडी-रोम या यूएसबी फ्लैश ड्राइव) से बूट करके इसके कंप्यूटर डेटा भंडारण की जांच करना है।[72] तकनीक प्रभावी है क्योंकि रूटकिट सक्रिय रूप से अपनी उपस्थिति को छुपा नहीं सकता है यदि यह नहीं चल रहा है।

व्यवहार-आधारित

रूटकिट का पता लगाने के लिए व्यवहार-आधारित दृष्टिकोण रूटकिट-जैसे व्यवहार की तलाश करके रूटकिट की उपस्थिति का अनुमान लगाने का प्रयास करता है। उदाहरण के लिए, प्रणाली की रूपरेखा (कंप्यूटर प्रोग्रामिंग) द्वारा, एपीआई कॉल के समय और आवृत्ति में अंतर या समग्र सीपीयू उपयोग में अंतर को रूटकिट के लिए जिम्मेदार ठहराया जा सकता है। विधि जटिल है और टाइप I और टाइप II त्रुटियों की उच्च घटना से बाधित है। दोषपूर्ण रूटकिट कभी-कभी सिस्टम में बहुत स्पष्ट परिवर्तन प्रस्तुत कर सकते हैं: सुरक्षा अद्यतन के बाद इसके कोड में डिज़ाइन दोष उजागर होने के बाद एल्यूरॉन रूटकिट ने विंडोज सिस्टम को क्रैश कर दिया।[73][74] पैकेट विश्लेषक, फ़ायरवॉल , या घुसपैठ की रोकथाम प्रणाली से लॉग नेटवर्क वातावरण में रूटकिट व्यवहार का प्रमाण प्रस्तुत कर सकते हैं।[26]

हस्ताक्षर-आधारित

एंटीवायरस उत्पाद सार्वजनिक परीक्षणों में प्रायः ही कभी सभी वायरस पकड़ते हैं (इस पर निर्भर करता है कि किसका उपयोग किया जाता है और किस हद तक), भले ही सुरक्षा सॉफ़्टवेयर विक्रेता अपने उत्पादों में रूटकिट डिटेक्शन सम्मलित करते हैं। यदि कोई रूटकिट एंटीवायरस स्कैन के दौरान छिपाने का प्रयास करता है, तो स्टील्थ डिटेक्टर नोटिस कर सकता है; यदि रूटकिट सिस्टम से स्वयं को अस्थायी रूप से अनलोड करने का प्रयास करता है, तो सिग्नेचर डिटेक्शन (या फ़िंगरप्रिंटिंग) अभी भी इसे ढूंढ सकता है।[75] यह संयुक्त दृष्टिकोण हमलावरों को काउंटरटैक तंत्र, या रेट्रो रूटीन लागू करने के लिए मजबूर करता है, जो एंटीवायरस प्रोग्राम को समाप्त करने का प्रयास करता है। हस्ताक्षर-आधारित पता लगाने के विधि अच्छी तरह से प्रकाशित रूटकिट के खिलाफ प्रभावी हो सकते हैं, परंतु विशेष रूप से तैयार किए गए, कस्टम-रूट रूटकिट के खिलाफ कम।[62]

अंतर-आधारित

एक अन्य विधि जो रूटकिट का पता लगा सकती है, विश्वसनीय कच्चे डेटा की तुलना एपीआई द्वारा लौटाई गई दूषित सामग्री से करती है। उदाहरण के लिए, डिस्क पर मौजूद बायनेरिज़ की तुलना ऑपरेटिंग मेमोरी के अंतर्गत उनकी प्रतियों से की जा सकती है (कुछ ऑपरेटिंग सिस्टम में, इन-मेमोरी छवि ऑन-डिस्क छवि के समान होनी चाहिए), या फाइल सिस्टम या विंडोज रजिस्ट्री एपीआई से लौटाए गए परिणाम कर सकते हैं अंतर्निहित भौतिक डिस्क पर कच्ची संरचनाओं के विरुद्ध जाँच की जाए[62][76]- चूंकि,पूर्व के मामले में, ऑपरेटिंग सिस्टम तंत्र जैसे मेमोरी रिलोकेशन या शिम द्वारा कुछ वैध अंतर प्रस्तुत किए जा सकते हैं। रूटकिट इस तरह के अंतर-आधारित स्कैनर या वर्चुअल मशीन की उपस्थिति का पता लगा सकता है (बाद में सामान्यतः फोरेंसिक विश्लेषण करने के लिए उपयोग किया जाता है), और इसके व्यवहार को समायोजित कर सकता है जिससे कोई अंतर पता न चल सके। सोनी डीआरएम रूटकिट को खोजने के लिए रसिनोविच के रूटकिट रीवेलर टूल द्वारा अंतर-आधारित पहचान का उपयोग किया गया था।[1]

अखंडता जांच

Rhunter उपयोगिता SHA-1 हैश का उपयोग सिस्टम फ़ाइलों की अखंडता को सत्यापित करने के लिए करती है।

कोड हस्ताक्षर सार्वजनिक-कुंजी अवसंरचना का उपयोग यह जांचने के लिए करता है कि किसी फ़ाइल को उसके प्रकाशक द्वारा डिजिटल हस्ताक्षर होने के बाद से संशोधित किया गया है या नहीं। वैकल्पिक रूप से, सिस्टम स्वामी या व्यवस्थापक स्थापना के समय फ़िंगरप्रिंट की गणना करने के लिए क्रिप्टोग्राफ़िक हैश फ़ंक्शन का उपयोग कर सकता है जो ऑन-डिस्क कोड लाइब्रेरी में बाद में अनधिकृत परिवर्तनों का पता लगाने में सहायता कर सकता है।[77] चूंकि, अपरिष्कृत योजनाएँ मात्र यह जाँचती हैं कि क्या कोड को स्थापना के समय से संशोधित किया गया है; उस समय से पहले तोड़फोड़ पता लगाने योग्य नहीं है। हर बार सिस्टम में परिवर्तन किए जाने पर फ़िंगरप्रिंट को पुनः स्थापित किया जाना चाहिए: उदाहरण के लिए, सुरक्षा अद्यतन या सर्विस पैक स्थापित करने के बाद। हैश फ़ंक्शन संदेश डाइजेस्ट बनाता है, एल्गोरिदम का उपयोग करके फ़ाइल में प्रत्येक बिट से अपेक्षाकृत कम कोड की गणना की जाती है जो मूल फ़ाइल में छोटे बदलावों के साथ संदेश डाइजेस्ट में बड़े बदलाव बनाता है। संदेश डाइजेस्ट की विश्वसनीय सूची के विरुद्ध नियमित अंतराल पर स्थापित फ़ाइलों के संदेश डाइजेस्ट की पुनर्गणना और तुलना करके, सिस्टम में परिवर्तन का पता लगाया जा सकता है और निगरानी की जा सकती है - जब तक कि मैलवेयर जोड़े जाने से पहले मूल आधार रेखा बनाई गई थी।

अधिक परिष्कृत रूटकिट निरीक्षण के लिए फ़ाइल की असंशोधित प्रति प्रस्तुत करके, या मात्र मेमोरी, पुनर्संरचना रजिस्टरों में कोड संशोधन करके सत्यापन प्रक्रिया को उलटने में सक्षम हैं, जिनकी तुलना बाद में अपेक्षित मूल्यों की सफेद सूची से की जाती है।[78] कोड जो हैश करता है, तुलना करता है, या संचालन का विस्तार करता है, उसे भी संरक्षित किया जाना चाहिए - इस संदर्भ में, अपरिवर्तनीय रूट-ऑफ-ट्रस्ट की धारणा यह मानती है कि सिस्टम के सुरक्षा गुणों को मापने के लिए सबसे पहले कोड को यह सुनिश्चित करने के लिए स्वयं पर भरोसा करना चाहिए रूटकिट या बूटकिट सिस्टम को उसके सबसे मौलिक स्तर पर समझौता नहीं करता है।[79]

मेमोरी डंप

अप्रत्यक्ष स्मृति के पूर्ण डंप को मजबूर करने से सक्रिय रूटकिट (या कर्नेल-मोड रूटकिट के मामले में कोर डंप) पर कब्जा हो जाएगा, ऑफ़लाइन फॉरेंसिक विश्लेषण को रूटकिट सक्षम किए बिना परिणामी डंप फ़ाइल के विरुद्ध डीबगर के साथ निष्पादित करने की अनुमति मिलती है। स्वयं को छिपाने के लिए कोई उपाय करें। यह तकनीक अत्यधिक विशिष्ट है, और इसके लिए गैर-सार्वजनिक स्रोत कोड या डीबग प्रतीक तक पहुंच की आवश्यकता हो सकती है। ऑपरेटिंग सिस्टम द्वारा शुरू किए गए मेमोरी डंप का उपयोग हमेशा हाइपरवाइजर-आधारित रूटकिट का पता लगाने के लिए नहीं किया जा सकता है, जो मेमोरी को पढ़ने के लिए निम्नतम-स्तर के प्रयासों को रोकने और हटाने में सक्षम है।[6]—एक हार्डवेयर डिवाइस, जैसे कि गैर-नकाबपोश व्यवधान को लागू करता है, इस परिदृश्य में मेमोरी को डंप करने की आवश्यकता हो सकती है।[80][81] वर्चुअल मशीनें अंतर्निहित हाइपरविजर से समझौता मशीन की मेमोरी का विश्लेषण करना भी आसान बनाती हैं, इसलिए कुछ रूटकिट इस कारण से वर्चुअल मशीनों को संक्रमित करने से बचेंगे।

हटाना

एक विशिष्ट कंप्यूटर उपयोगकर्ता के लिए रूटकिट को मैन्युअल रूप से हटाना अधिकांशतः बेहद कठिन होता है,[27] परंतु कई सुरक्षा-सॉफ़्टवेयर विक्रेता स्वचालित रूप से कुछ रूटकिट का पता लगाने और हटाने के लिए उपकरण प्रदान करते हैं, सामान्यतः एंटीवायरस सॉफ़्टवेयर के भाग के रूप में। 2005 तक, माइक्रोसॉफ्टका मासिक विंडोज़ द्वेषपूर्ण सॉफ़्टवेयर निष्कासन उपकरण रूटकिट के कुछ वर्गों का पता लगाने और उन्हें निकालने में सक्षम है।[82][83] साथ ही, विंडोज डिफेंडर ऑफलाइन रूटकिट को हटा सकता है, क्योंकि यह ऑपरेटिंग सिस्टम शुरू होने से पहले विश्वसनीय वातावरण से चलता है।[84] कुछ एंटीवायरस स्कैनर फाइल सिस्टम एपीआई को बायपास कर सकते हैं, जो रूटकिट द्वारा हेरफेर के लिए असुरक्षित हैं। इसके अतिरिक्त, वे कच्चे फ़ाइल सिस्टम संरचनाओं तक सीधे पहुँचते हैं, और रूटकिट के कारण होने वाले किसी भी अंतर की पहचान करने के लिए सिस्टम एपीआई से परिणामों को मान्य करने के लिए इस जानकारी का उपयोग करते हैं।[Notes 2][85][86][87][88] ऐसे विशेषज्ञ हैं जो मानते हैं कि उन्हें हटाने का एकमात्र विश्वसनीय तरीका विश्वसनीय मीडिया से ऑपरेटिंग सिस्टम को पुनः स्थापित करना है।[89][90] ऐसा इसलिए है क्योंकि अविश्वसनीय सिस्टम पर चल रहे एंटीवायरस और मैलवेयर हटाने वाले उपकरण अच्छी तरह से लिखे गए कर्नेल-मोड रूटकिट के विरुद्ध अप्रभावी हो सकते हैं। विश्वसनीय मीडिया से वैकल्पिक ऑपरेटिंग सिस्टम को बूट करने से संक्रमित सिस्टम वॉल्यूम को माउंट किया जा सकता है और संभावित रूप से सुरक्षित रूप से साफ किया जा सकता है और महत्वपूर्ण डेटा को कॉपी किया जा सकता है - या, वैकल्पिक रूप से, फोरेंसिक परीक्षा की जा सकती है।[26] इस उद्देश्य के लिए विंडोज पीई, रिकवरी कंसोल, विंडोज रिकवरी पर्यावरण, बार्टपीई, या लाइव सीडी जैसे लाइटवेट ऑपरेटिंग सिस्टम का उपयोग किया जा सकता है, जिससे सिस्टम को साफ किया जा सकता है। भले ही रूटकिट का प्रकार और प्रकृति ज्ञात हो, मैनुअल मरम्मत अव्यावहारिक हो सकती है, जबकि ऑपरेटिंग सिस्टम और एप्लिकेशन को पुनः इंस्टॉल करना सुरक्षित, सरल और तेज है।[89]


बचाव

सिस्टम सख्त रूटकिट के खिलाफ रक्षा की पहली परतों में से का प्रतिनिधित्व करता है, इसे स्थापित करने में सक्षम होने से रोकने के लिए।[91] सुरक्षा पैच लागू करना, कम से कम विशेषाधिकार के सिद्धांत को लागू करना, हमले की सतह को कम करना और एंटीवायरस सॉफ़्टवेयर स्थापित करना कुछ मानक सुरक्षा सर्वोत्तम अभ्यास हैं जो मैलवेयर के सभी वर्गों के विरुद्ध प्रभावी हैं।[92] यूईएफआई जैसे नए सुरक्षित बूट विनिर्देशों को बूटकिट के खतरे को संबोधित करने के लिए डिज़ाइन किया गया है, परंतु ये भी असुरक्षित हैं यदि उनके द्वारा प्रदान की जाने वाली सुरक्षा सुविधाओं का उपयोग नहीं किया जाता है।[50]सर्वर सिस्टम के लिए, इंटेल विश्वसनीय निष्पादन प्रौद्योगिकी (TXT) जैसी तकनीकों का उपयोग करके रिमोट सर्वर प्रमाणन यह सत्यापित करने का तरीका प्रदान करता है कि सर्वर ज्ञात अच्छी स्थिति में रहते हैं। उदाहरण के लिए, माइक्रोसॉफ्ट बिटलॉकर का डेटा-एट-रेस्ट का एन्क्रिप्शन सत्यापित करता है कि सर्वर बूटअप पर ज्ञात अच्छी स्थिति में हैं। प्राइवेटकोर vCage सॉफ्टवेयर प्रस्तुत है जो बूटकिट से बचने के लिए डेटा-इन-यूज (मेमोरी) को सुरक्षित करता है और सर्वर को सत्यापित करके रूटकिट बूटअप पर ज्ञात अच्छी स्थिति में है। प्राइवेटकोर कार्यान्वयन इंटेल TXT के साथ मिलकर काम करता है और संभावित बूटकिट और रूटकिट से बचने के लिए सर्वर सिस्टम इंटरफेस को लॉक कर देता है।

यह भी देखें

टिप्पणियाँ


संदर्भ

  1. 1.0 1.1 1.2 1.3 1.4 1.5 1.6 1.7 "रूटकिट्स, 3 का भाग 1: बढ़ता हुआ खतरा" (PDF). McAfee. 2006-04-17. Archived from the original (PDF) on 2006-08-23.
  2. Evancich, N.; Li, J. (2016-08-23). "6.2.3 Rootkits". In Colbert, Edward J. M.; Kott, Alexander (eds.). एससीएडीए और अन्य औद्योगिक नियंत्रण प्रणालियों की साइबर सुरक्षा. Springer. p. 100. ISBN 9783319321257 – via Google Books.
  3. "रूटकिट क्या है - परिभाषा और व्याख्या". www.kaspersky.com (in English). 2021-04-09. Retrieved 2021-11-13.
  4. 4.0 4.1 4.2 4.3 "विंडोज रूटकिट अवलोकन" (PDF). Symantec. 2006-03-26. Archived from the original (PDF) on 2010-12-14. Retrieved 2010-08-17.
  5. Sparks, Sherri; Butler, Jamie (2005-08-01). "विंडोज रूटकिट डिटेक्शन के लिए बार उठाना". Phrack. 0xb (x3d).
  6. 6.0 6.1 6.2 6.3 6.4 Myers, Michael; Youndt, Stephen (2007-08-07). हार्डवेयर-असिस्टेड वर्चुअल मशीन (एचवीएम) रूटकिट्स का एक परिचय (Report). Crucial Security. CiteSeerX: 10.1.1.90.8832.
  7. Andrew Hay; Daniel Cid; Rory Bray (2008). OSSEC होस्ट-आधारित घुसपैठ का पता लगाने वाली मार्गदर्शिका. Syngress. p. 276. ISBN 978-1-59749-240-9 – via Google Books.
  8. Thompson, Ken (August 1984). "ट्रस्टिंग ट्रस्ट पर विचार" (PDF). Communications of the ACM. 27 (8): 761. doi:10.1145/358198.358210.
  9. 9.0 9.1 Greg Hoglund; James Butler (2006). रूटकिट्स: विंडोज कर्नेल को सबवर्ट करना. Addison-Wesley. p. 4. ISBN 978-0-321-29431-9 – via Google Books.
  10. Dai Zovi, Dino (2009-07-26). उन्नत मैक ओएस एक्स रूटकिट्स (PDF). Blackhat. Endgame Systems. Retrieved 2010-11-23.
  11. "स्टक्सनेट औद्योगिक नियंत्रण प्रणाली के लिए पहली ज्ञात रूटकिट पेश करता है". Symantec. 2010-08-06. Retrieved 2010-12-04.
  12. "स्पाइवेयर विवरण: XCP.Sony.Rootkit". Computer Associates. 2005-11-05. Archived from the original on 2010-08-18. Retrieved 2010-08-19.
  13. Russinovich, Mark (2005-10-31). "सोनी, रूटकिट्स और डिजिटल राइट्स मैनेजमेंट बहुत दूर चला गया". TechNet Blogs. Microsoft. Retrieved 2010-08-16.
  14. "सोनी की दीर्घकालिक रूटकिट सीडी संकट". BBC News. 2005-11-21. Retrieved 2008-09-15.
  15. Felton, Ed (2005-11-15). "सोनी का वेब-आधारित अनइंस्टालर एक बड़ा सुरक्षा छेद खोलता है; सोनी टू रिकॉल डिस्क".
  16. Knight, Will (2005-11-11). "सोनी बीएमजी ने म्यूजिक सीडी पर क्लोकिंग सॉफ्टवेयर पर मुकदमा दायर किया". New Scientist. Retrieved 2010-11-21.
  17. Kyriakidou, Dina (March 2, 2006). ""ग्रीक वाटरगेट" स्कैंडल राजनीतिक शॉकवेव्स भेजता है". Reuters. Retrieved 2007-11-24.[dead link]
  18. 18.0 18.1 Vassilis Prevelakis; Diomidis Spinellis (July 2007). "एथेंस मामला".
  19. Russinovich, Mark (June 2005). "Unearthing Root Kits". Windows IT Pro. Archived from the original on 2012-09-18. Retrieved 2010-12-16.
  20. Marks, Joseph (July 1, 2021). "साइबर सुरक्षा 202: DOJ का भविष्य हैकर्स को बाधित करने में है, न कि केवल उन पर अभियोग लगाने में". The Washington Post. Retrieved July 24, 2021.
  21. Steve Hanna (September 2007). "हनीपोट-आधारित मालवेयर डिटेक्शन के लिए रूटकिट प्रौद्योगिकी का उपयोग करना" (PDF). CCEID Meeting.
  22. Russinovich, Mark (6 February 2006). "डिजिटल राइट्स मैनेजमेंट को हराने के लिए रूटकिट्स का उपयोग करना". Winternals. SysInternals. Archived from the original on 14 August 2006. Retrieved 2006-08-13.
  23. "सिमेंटेक अपने स्वयं के रूटकिट के लिए अद्यतन जारी करता है". HWM (March): 89. 2006 – via Google Books.
  24. 24.0 24.1 Ortega, Alfredo; Sacco, Anibal (2009-07-24). रूटकिट को निष्क्रिय करें: BIOS विरोधी चोरी प्रौद्योगिकियों पर हमला (PDF). Black Hat USA 2009 (PDF). Boston, MA: Core Security Technologies. Retrieved 2014-06-12.
  25. Kleissner, Peter (2009-09-02). "Stoned Bootkit: The Rise of MBR Rootkits & Bootkits in the Wild" (PDF). Archived from the original (PDF) on 2011-07-16. Retrieved 2010-11-23.
  26. 26.0 26.1 26.2 Anson, Steve; Bunting, Steve (2007). विंडोज नेटवर्क फोरेंसिक और जांच में महारत हासिल करना. John Wiley and Sons. pp. 73–74. ISBN 978-0-470-09762-5.
  27. 27.0 27.1 27.2 27.3 "रूटकिट्स पार्ट 2: एक तकनीकी प्राइमर" (PDF). McAfee. 2007-04-03. Archived from the original (PDF) on 2008-12-05. Retrieved 2010-08-17.
  28. Kdm. "NTIllusion: एक पोर्टेबल Win32 यूजरलैंड रूटकिट". Phrack. 62 (12).
  29. 29.0 29.1 29.2 29.3 "Understanding Anti-Malware Technologies" (PDF). Microsoft. 2007-02-21. Archived from the original (PDF) on 2010-09-11. Retrieved 2010-08-17.
  30. Hoglund, Greg (1999-09-09). "ए * रियल * एनटी रूटकिट, एनटी कर्नेल को पैच करना". Phrack. 9 (55). Retrieved 2010-11-21.
  31. Chuvakin, Anton (2003-02-02). An Overview of Unix Rootkits (PDF) (Report). Chantilly, Virginia: iDEFENSE. Archived from the original (PDF) on 2011-07-25. Retrieved 2010-11-21.
  32. Butler, James; Sparks, Sherri (2005-11-16). "2005 का विंडोज रूटकिट, भाग दो". Symantec Connect. Symantec. Retrieved 2010-11-13.
  33. Butler, James; Sparks, Sherri (2005-11-03). "2005 का विंडोज रूटकिट, भाग एक". Symantec Connect. Symantec. Retrieved 2010-11-12.
  34. Burdach, Mariusz (2004-11-17). "लिनक्स में रूटकिट्स और कर्नेल-स्तर के समझौता का पता लगाना". Symantec. Retrieved 2010-11-23.
  35. Osborne, Charlie (September 17, 2019). "स्किडमैप मैलवेयर अवैध क्रिप्टोक्यूरेंसी खनन को छिपाने के लिए कर्नेल में दब जाता है". ZDNet. Retrieved July 24, 2021.
  36. Marco Giuliani (11 April 2011). "ZeroAccess – एक उन्नत कर्नेल मोड रूटकिट" (PDF). Webroot Software. Retrieved 10 August 2011.
  37. "विंडोज के लिए ड्राइवर साइनिंग आवश्यकताएँ". Microsoft. Retrieved 2008-07-06.
  38. Salter, Jim (July 31, 2020). "बूटहोल पैच के कारण Red Hat और CentOS सिस्टम बूट नहीं हो रहे हैं". Ars Technica. Retrieved July 24, 2021.
  39. Schneier, Bruce (2009-10-23). "एन्क्रिप्टेड हार्ड ड्राइव पर 'ईविल मेड' अटैक". Retrieved 2009-11-07.
  40. Soeder, Derek; Permeh, Ryan (2007-05-09). "चुकंदर". eEye Digital Security. Archived from the original on 2013-08-17. Retrieved 2010-11-23.
  41. Kumar, Nitin; Kumar, Vipin (2007). Vbootkit: Windows Vista सुरक्षा से समझौता (PDF). Black Hat Europe 2007.
  42. "बूट किट: कस्टम बूट सेक्टर आधारित विंडोज 2000/XP/2003 तोड़फोड़". NVlabs. 2007-02-04. Archived from the original on June 10, 2010. Retrieved 2010-11-21.
  43. Kleissner, Peter (2009-10-19). "स्टोन्ड बूटकिट". Peter Kleissner. Retrieved 2009-11-07.[self-published source]
  44. Goodin, Dan (2010-11-16). "दुनिया का सबसे उन्नत रूटकिट 64-बिट विंडोज में प्रवेश करता है". The Register. Retrieved 2010-11-22.
  45. Francisco, Neil McAllister in San. "माइक्रोसॉफ्ट ने ओईएम विंडोज 8 लाइसेंसिंग पर पकड़ मजबूत की". www.theregister.com.
  46. King, Samuel T.; Chen, Peter M.; Wang, Yi-Min; Verbowski, Chad; Wang, Helen J.; Lorch, Jacob R. (2006-04-03). International Business Machines (ed.). SubVirt: वर्चुअल मशीन के साथ मैलवेयर को लागू करना (PDF). 2006 IEEE Symposium on Security and Privacy. Institute of Electrical and Electronics Engineers. doi:10.1109/SP.2006.38. ISBN 0-7695-2574-1. Retrieved 2008-09-15. {{cite conference}}: |editor= has generic name (help)
  47. Wang, Zhi; Jiang, Xuxian; Cui, Weidong; Ning, Peng (2009-08-11). "लाइटवेट हुक प्रोटेक्शन के साथ कर्नेल रूटकिट्स का मुकाबला करना" (PDF). In Al-Shaer, Ehab (General Chair) (ed.). Proceedings of the 16th ACM Conference on Computer and Communications Security. CCS 2009: 16th ACM Conference on Computer and Communications Security. Jha, Somesh; Keromytis, Angelos D. (Program Chairs). New York: ACM New York. doi:10.1145/1653662.1653728. ISBN 978-1-60558-894-0. Retrieved 2009-11-11.
  48. "डिवाइस गार्ड विंडोज डिफेंडर एप्लिकेशन कंट्रोल और वर्चुअलाइजेशन-आधारित कोड इंटीग्रिटी (विंडोज 10) की सुरक्षा का संयोजन है".
  49. Delugré, Guillaume (2010-11-21). ब्रॉडकॉम नेटेक्सट्रीम फ़र्मवेयर को उलटना (PDF). hack.lu. Sogeti. Archived from the original (PDF) on 2012-04-25. Retrieved 2010-11-25.
  50. 50.0 50.1 "हैकिंग टीम आरसीएस 9 एजेंट को टारगेट सिस्टम में रखने के लिए यूईएफआई BIOS रूटकिट का उपयोग करती है - TrendLabs Security Intelligence Blog". 2015-07-13.
  51. Heasman, John (2006-01-25). एसीपीआई BIOS रूटकिट का कार्यान्वयन और पता लगाना (PDF). Black Hat Federal 2006. NGS Consulting. Retrieved 2010-11-21.
  52. Heasman, John (2006-11-15). "पीसीआई रूटकिट का कार्यान्वयन और पता लगाना" (PDF). Next Generation Security Software. CiteSeerX: 10.1.1.89.7305. Retrieved 2010-11-13.
  53. Modine, Austin (2008-10-10). "यूरोपीय कार्ड स्वाइप उपकरणों के साथ संगठित अपराध छेड़छाड़: ​​ग्राहक डेटा विदेशों में प्रसारित हुआ". The Register. Situation Publishing. Retrieved 2008-10-13. {{cite web}}: zero width space character in |title= at position 60 (help)
  54. Sacco, Anibal; Ortéga, Alfredo (2009). Persistent BIOS infection (PDF). CanSecWest 2009. Core Security Technologies. Archived from the original (PDF) on 2011-07-08. Retrieved 2010-11-21.
  55. Goodin, Dan (2009-03-24). "न्यूफंगल रूटकिट्स हार्ड डिस्क वाइपिंग से बचे रहते हैं". The Register. Situation Publishing. Retrieved 2009-03-25.
  56. Sacco, Anibal; Ortéga, Alfredo (2009-06-01). "लगातार BIOS संक्रमण: द अर्ली बर्ड कैच द वर्म". Phrack. 66 (7). Retrieved 2010-11-13.
  57. Ric Vieler (2007). पेशेवर रूटकिट्स. John Wiley & Sons. p. 244. ISBN 9780470149546.
  58. Matrosov, Aleksandr; Rodionov, Eugene (2010-06-25). "TDL3: The Rootkit of All Evil?" (PDF). Moscow: ESET. p. 3. Archived from the original (PDF) on 2011-05-13. Retrieved 2010-08-17.
  59. Matrosov, Aleksandr; Rodionov, Eugene (2011-06-27). "The Evolution of TDL: Conquering x64" (PDF). ESET. Archived from the original (PDF) on 2015-07-29. Retrieved 2011-08-08.
  60. Gatlan, Sergiu (May 6, 2021). "नई मोरिया रूटकिट जंगली से पिछले दरवाजे विंडोज सिस्टम में उपयोग की जाती है". Bleeping Computer. Retrieved July 24, 2021.
  61. Brumley, David (1999-11-16). "अदृश्य घुसपैठिए: अभ्यास में रूटकिट". USENIX. USENIX.
  62. 62.0 62.1 62.2 62.3 62.4 Davis, Michael A.; Bodmer, Sean; LeMasters, Aaron (2009-09-03). "Chapter 10: Rootkit Detection" (PDF). हैकिंग उजागर मैलवेयर और रूटकिट्स: मैलवेयर और रूटकिट्स सुरक्षा रहस्य और समाधान. New York: McGraw Hill Professional. ISBN 978-0-07-159118-8.
  63. Trlokom (2006-07-05). "Defeating Rootkits and Keyloggers" (PDF). Trlokom. Archived from the original (PDF) on 2011-07-17. Retrieved 2010-08-17.
  64. Dai Zovi, Dino (2011). "कर्नेल रूटकिट्स". Archived from the original on September 10, 2012. Retrieved 13 Sep 2012.
  65. "ज़ेप्पू". SourceForge. 18 July 2009. Retrieved 8 August 2011.
  66. Cogswell, Bryce; Russinovich, Mark (2006-11-01). "रूटकिट रिवीलर v1.71". Microsoft. Retrieved 2010-11-13.
  67. "रूटकिट और एंटी-रूटकिट". Retrieved 13 September 2017.
  68. "सोफोस एंटी-रूटकिट". Sophos. Retrieved 8 August 2011.
  69. "काला प्रकाश". F-Secure. Retrieved 8 August 2011.
  70. "रेडिक्स एंटी-रूटकिट". usec.at. Retrieved 8 August 2011.
  71. "जीएमईआर". Retrieved 8 August 2011.
  72. Harriman, Josh (2007-10-19). "रूटकिट हटाने की प्रभावशीलता के लिए एक परीक्षण पद्धति" (PDF). Dublin, Ireland: Symantec Security Response. Archived from the original (PDF) on 2009-10-07. Retrieved 2010-08-17.
  73. Cuibotariu, Mircea (2010-02-12). "टिडसर्व और MS10-015". Symantec. Retrieved 2010-08-19.
  74. "MS10-015 स्थापित करने के बाद समस्याएँ पुनः प्रारंभ करें". Microsoft. 2010-02-11. Retrieved 2010-10-05.
  75. Steinberg, Joseph (June 9, 2021). "कीलॉगर्स के बारे में आपको क्या जानना चाहिए". bestantivirus.com. Retrieved July 24, 2021.
  76. "Strider GhostBuster Rootkit Detection". Microsoft Research. 2010-01-28. Archived from the original on 2012-07-29. Retrieved 2010-08-14.
  77. "ऑथेंटिकोड के साथ कोड पर हस्ताक्षर करना और जांचना". Microsoft. Retrieved 2008-09-15.
  78. "नेटवर्क एज पर रूटकिट्स को रोकना" (PDF). Beaverton, Oregon: Trusted Computing Group. January 2017. Retrieved 2008-07-11.
  79. "टीसीजी पीसी विशिष्ट कार्यान्वयन विशिष्टता, संस्करण 1.1" (PDF). Trusted Computing Group. 2003-08-18. Retrieved 2010-11-22.
  80. "Windows-आधारित सिस्टम पर NMI का उपयोग करके एक पूर्ण क्रैश डंप फ़ाइल या कर्नेल क्रैश डंप फ़ाइल कैसे उत्पन्न करें". Microsoft. Retrieved 2010-11-13.
  81. Seshadri, Arvind; et al. (2005). "पायनियर: कोड इंटीग्रिटी का सत्यापन करना और लीगेसी सिस्टम्स पर अनपेक्षित कोड निष्पादन को लागू करना". Proceedings of the Twentieth ACM Symposium on Operating Systems Principles. Carnegie Mellon University. doi:10.1145/1095810.1095812. S2CID 9960430.
  82. Dillard, Kurt (2005-08-03). "रूटकिट लड़ाई: रूटकिट रिवीलर बनाम हैकर डिफेंडर".
  83. "Microsoft Windows दुर्भावनापूर्ण सॉफ़्टवेयर निष्कासन उपकरण Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008, या Windows XP चलाने वाले कंप्यूटरों से विशिष्ट, प्रचलित दुर्भावनापूर्ण सॉफ़्टवेयर को निकालने में मदद करता है". Microsoft. 2010-09-14.
  84. Bettany, Andrew; Halsey, Mike (2017). विंडोज वायरस और मैलवेयर समस्या निवारण. Apress. p. 17. ISBN 9781484226070 – via Google Books.
  85. Hultquist, Steve (2007-04-30). "रूटकिट्स: अगला बड़ा उद्यम खतरा?". InfoWorld. Retrieved 2010-11-21.
  86. "सुरक्षा निगरानी: मौज-मस्ती और लाभ के लिए रूटकिट्स". CNET Reviews. 2007-01-19. Archived from the original on 2012-10-08. Retrieved 2009-04-07.
  87. Bort, Julie (2007-09-29). "बॉटनेट्स के खिलाफ वापस लड़ने के छह तरीके". PCWorld. San Francisco: PCWorld Communications. Retrieved 2009-04-07.
  88. Hoang, Mimi (2006-11-02). "आज के कठिन सुरक्षा खतरों से निपटना: रूटकिट्स". Symantec Connect. Symantec. Retrieved 2010-11-21.
  89. 89.0 89.1 Danseglio, Mike; Bailey, Tony (2005-10-06). "रूटकिट्स: द ऑबस्क्योर हैकर अटैक". Microsoft.
  90. Messmer, Ellen (2006-08-26). "विशेषज्ञ रूटकिट का पता लगाने और हटाने पर विभाजित हैं". NetworkWorld.com. Framingham, Mass.: IDG. Retrieved 2010-08-15.
  91. Skoudis, Ed; Zeltser, Lenny (2004). मैलवेयर: दुर्भावनापूर्ण कोड से लड़ना. Prentice Hall PTR. p. 335. ISBN 978-0-13-101405-3.
  92. Hannel, Jeromey (2003-01-23). "शुरुआत करने वालों के लिए Linux रूटकिट - निवारण से निष्कासन तक". SANS Institute. Archived from the original (PDF) on October 24, 2010. Retrieved 2010-11-22.


अग्रिम पठन

बाहरी संबंध

  • Media related to Rootkits at Wikimedia Commons







  1. The process name of Sysinternals RootkitRevealer was targeted by malware; in an attempt to counter this countermeasure, the tool now uses a randomly generated process name.
  2. In theory, a sufficiently sophisticated kernel-level rootkit could subvert read operations against raw file system data structures as well, so that they match the results returned by APIs.
Retrieved from ‘https://www.vigyanwiki.in/index.php?title=रूटकिट&oldid=75227