что такое rootkit

Ответ от DragoN[эксперт]
Rootkit (руткит, от англ. root kit, то есть «набор root'а» ) — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.
Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, сниферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов а также самого присутствия руткита в системе.
Классификация руткитов
По уровню привилегий
Уровня пользователя (user-mode)
Уровня ядра (kernel-mode)
По принципу действия
изменяющие алгоритмы выполнения системных функций (Modify execution path)
изменяющие системные структуры данных (Direct kernel object manupulation)
Основные методы реализации
В UNIX
реализуемые подменой основных системных утилит;
реализованные в виде модуля ядра и основанные на патчинге VFS или перехвате таблицы системных вызовов (sys_call_table);
основанные на модификации физической памяти ядра.
В Windows В Windows из-за Windows File Protection переписывание системных файлов затруднено (хотя и его можно обойти!) , поэтому основные способы внедрения в систему — модификация памяти.
перехват системных функций Windows API (API hooking) на уровне пользователя;
то же на уровне ядра (перехват Native API);
изменение системных структур данных;
модификация MBR и загрузка до ядра операционной системы - буткиты (известный представитель BackDoor.MaosBoot).
Данный вид вредоносных кодов очень давно известен в мире Windows и с начала 90х годов прошлого столетия носит название стелс-вируса (Stealth). Кроме того, руткиту нужно как-то поставить себя на автозапуск. «К счастью» , в Windows для этого существует множество способов помимо «стандартных» .
Дополнительные возможности
Кроме непосредственно себя руткит, как правило, может маскировать присутствие в системе любых описанных в его конфигурации каталогов и файлов на диске, ключей в реестре. По этой причине естественным образом появились «навесные» руткитные библиотеки. Многие rootkit устанавливают в систему свои драйверы и службы (они, естественно, также являются «невидимыми») .
Легальные руткиты
Руткиты могут «подкидывать» не только злоумышленники. Небезызвестен случай, когда корпорация Sony встраивала подобие руткита в свои лицензионные аудиодиски (см. Защита от несанкционированного копирования#Защита аудио компакт-дисков). Руткитами по сути является большинство программных средств защиты от копирования (и средств обхода этих защит — например, эмуляторы CD и DVD приводов). От «нелегальных» они отличаются только тем, что ставятся с ведома пользователя.
Антируткиты
Это утилиты или резидентные модули, обнаруживающие в системе присутствие руткитов и (в разной мере) удаляющие их. Существует множество конкурирующих средств для этого — как платных, так и бесплатных, но все они используют сходные принципы действия:
Поиск расхождений
Против MEP-руткитов. Одна и та же информация получается несколькими способами с использованием API и «напрямую» и ищутся расхождения. В частности, обычно сканируются таблицы импорта, таблица Native API, файловая система.
Будет приятно за лучший ответ