A detecção de rootkit é complicada, uma vez que é apto de corromper o programa, que tem que detectá-lo. Os métodos de detecção acrescentam a utilização de um sistema operacional alternativo de convicção; métodos de base comportamental; controles de assinatura, controles de diferenças e análise de despejo de memória.

Um rootkit é usado habitualmente para ocultar novas aplicações que são capazes de atuar no sistema de destino. Normalmente, backdoors (portas traseiras) para auxiliar o intruso pra aceder facilmente ao sistema uma vez que você conseguiu entrar pela primeira vez.

Por exemplo, o rootkit poderá camuflar uma aplicação que lance um console de cada vez que o invasor se conectar ao sistema a começar por uma definida porta. Os rootkits de kernel ou núcleo podem conter características semelhantes. Um backdoor poderá permitir bem como que os processos lançados por um usuário sem proveitos de administrador pra executar outras funções reservadas só ao root.

  • Ação administrativa: Um dia de fechamento. Txo (discussão) 00:12 9 out 2007 (CEST)
  • 4 Estado atual
  • Arrays [Editar
  • Association for Computing Machinery (A. C. M.) – o Capítulo de estudantes
  • vinte Re:Leonel Lua Estrada

Todo o tipo de ferramentas úteis para obter dado de modo ilícita podem ser escondidas usando rootkits. Os rootkits são usados assim como pra utilizar o sistema de destino como “base de operações”, ou seja, usá-lo para lançar ataques contra outros computadores.

dessa maneira, podes parecer que é o sistema infiltrado o que lança ataques e não o intruso externo. Este tipo de ataques conseguem ser de negação de serviço (dos), ataques a começar por IRC ou estrada e-mail (spam). Os rootkits conseguem ser classificados em 2 grupos: os que estão embutidos no kernel e os que funcionam a grau de aplicação.

Os que atuam desde o kernel incluem ou modificam uma divisão do código do referido núcleo para ocultar o backdoor. Normalmente esse procedimento é complementado acrescentando novo código para o kernel, seja por intervenção de um controlador (driver) ou um módulo, como os módulos do kernel do Linux ou dos dispositivos do sistema do Windows.