شبكة بحوث وتقارير ومعلومات
تجربة هيدر2
اليوم: الخميس 28 مارس 2024 , الساعة: 12:10 م


اخر المشاهدات
الأكثر قراءة
اعلانات

مرحبا بكم في شبكة بحوث وتقارير ومعلومات


عزيزي زائر شبكة بحوث وتقارير ومعلومات.. تم إعداد وإختيار هذا الموضوع روتكيت تعريف # اخر تحديث اليوم 2024-03-28 فإن كان لديك ملاحظة او توجيه يمكنك مراسلتنا من خلال الخيارات الموجودة بالموضوع.. وكذلك يمكنك زيارة القسم , وهنا نبذه عنها وتصفح المواضيع المتنوعه... آخر تحديث للمعلومات بتاريخ اليوم 12/10/2023

اعلانات

روتكيت تعريف # اخر تحديث اليوم 2024-03-28

آخر تحديث منذ 5 شهر و 17 يوم
1 مشاهدة

تعريف



هي مجموعة من برامج تستعمل لإخفاء عمليات نشيطة أو في طورالإنجاز على الكمبيوتر أو إخفاء بيانات نظام ملفات بالنسبة لنظام تشغيل .


روتكيت تستخدم بشكل متزايد من قبل برمجيات خيبته لمساعدة مهاجمين للحفاظ للوصول إلى نظام مع تجنب كشف من طرف مستخدم أو أداوت مستخدم روتكيت بي دي أف.





< >كلمة روتكيت مركبة من كلمتينhttp //content.myschool.lu/downloads/mysecureit/14_Rootkits2.pdf






  1. روت و تعني جذر

  2. كيت هو ممثل من تجميع عدة أجزاء


عند تجميع كلمتين نتحصل على روتكيت و يعني برامج نصية سكريبت التي تهاجم جذور المعالج كرنيل نواة لينكس أي نواة النواة





الفيروسات و الروتكيت


فيروس الحاسوب هو برنامج خارجي صنع عمداً بغرض تغيير خصائص الملفات التي يصيبها لتقوم بتنفيذ بعض الأوامر إما بالإزالة أو التعديل أو التخريب وما شابهها من عمليات.




اي ان فيروسات الكومبيوتر هي برامج تتم كتابتها بواسطة مبرمجين محترفين بغرض إلحاق الضرر بكومبيوتر آخر، أو السيطرة عليه أو سرقة بيانات مهمة، وتتم كتابتها بطريقة معينة.


مضاد الفيروسات و الروتكيت


< >'مضاد الفيروسات (أو برنامج مضاد للفيروسات)'' هو برنامج يستخدم لمنع واكتشاف وإزالة برنامج ضار البرمجيات الخبيثة ، بما فيها فيروس كمبيوتر فيروسات الحاسب ، دودة الكمبيوتر والديدان ، حصان طروادة (حاسوب) وأحصنة طروادة. فمثل هذه البرامج ويمكن أيضا منع وإزالة ال أدواري أدوير ، برامج التجسس ، وغيرها من أشكال البرمجيات الخبيثة.





عادة ما توظف مجموعة متنوعة من الاستراتيجيات. تشمل الفحص المستند على الكشف عن نماذج معروفة من البرمجيات الخبيثة في قانون قابل للتنفيذ كود قابل للتنفيذ. ومع ذلك، فمن الممكن للمستخدم أن يكون مصابا ببرمجيات خبيثة جديدة التي لا يوجد حتى الآن لها توقيع. لمواجهة هذا الذي يسمى اليوم صفر الفيروس تهديدات اليوم صفر ، يمكن استخدام الاستدلال . نوع واحد من النهج الإرشادي، التوقيعات العامة، يمكن التعرف على الفيروسات الجديدة، أو مختلف أشكال الفيروسات الموجودة ليبحث عن أكواد البرمجيات الخبيثة المعروفة (أو تكون هناك اختلافات طفيفة في هذا الكود) في الملفات.بعض برامج الحماية من الفيروسات ويمكنها أيضا التنبؤ بما سوف يحدث تفعل إذا فتح الملف بمحاكاتها في رمل صندوق رمل وتحليل ما تقوم به لمعرفة ما إذا كانت تنفذ أية إجراءات ضارة. إذا نفذت هذا، يمكن أن يعني هذا أن الملف ضار.


لا تنفع مضادت الفيروسات مع الروتكيت نضرا لبنيتها و ميزتها في التخفي و خاصة اذا كانت قد سبق و دخلت جهاز الكمبيوتر لذا من الامور التي يجب مراقبتها و تحديثها بالاضافة الي مضاد الفيروسات اولا هو الجدار الناري.


مثال تطبيقي


افترض أنا المهاجم وضع سكريبت يسمى نت ستات Netstat حيث أن هذه الخدمة حقا موجودة على الكمبيوتر و أن نت ستات خبيت قد تسلل بالفعل على كمبيوتر لا للقضاء على خدمة أصلية نت ستات ولكن يغير إسمه إلى نت ستات أل و بهذه الطريقة يؤجل استخدام الخدمة الأصليةإلى وقت لاحق.


في لحظة يتم تنشيط الخدمة فإن السيناريو الخبيث سينشط الخدمة الأصلية لكن يحرف هذه الخدمة. طبعا المستخدم لن يلاحظ أي شيء على إطلاق لأن كل شيء يعمل بشكل طبيعي و الفرق أن نت ستات خبيث ثبث و أخفى تروايان fr Troyen Troyen حيث يخبئ له باكدور fr Backdoor Backdoor وراصد لوحة مفاتيح Keylogger إضافة لذلك فإن روتكيت يثبت عدة نت ستات على تتالي لو تمكنا من اكتشاف أي أحد منهم و تمكنا استئصاله و لكن باقي نت ستات ستنشط تلقائيا .


مثلا بالنسبة إلى نظام تشغيل ويندوز لا يمكن كشف روتكيت بمضاد الفيروسات مضاد الفيروسات إذا تم إكتشاف روتكيت على جهاز كمبيوتر لم يبقَ شيء لقيام به بخلاف إعادة تثبيت نظام تشغيل ويندوز .


المستهدف



على عكس ما يعتقد معظم الناس ليست شركات هي مستهدفة ولا حتى شركات الكبرى و لكن بصفة خاصة الفرد بسبب سذاجتهم أو جهلهم بالمخاطر أمنية



الهدف



هدف مافيا كمبيوتر هو تجسس على جهاز كمبيوتر الخاص بك لاستعادة كلمات سر الخاص بك و السمارت المصرفية إلكترونية أو مختلف رموز الوصول أو استعمال جزء من مساحة قرص ثابت لتخزين محتوى غير قانوني أو استخدامه كقاعدة لإرسال سبام أي البريد غير مرغوب فيه بالإضافة إلى إستخدام القرص ثابت الخاص بك كوصلات لقيام بهجمات من نوع DD0S8 حيث سيحول جهازك إلى كمبيوتر زومبي 9 الأسوء أنك لن تلاحظ استخدام غير المشروع لقرص الصلب الخاص بك.



عناصر مميزة لروتكيت



مجموعة من التغيرات



من ناحية روتكيت نادرا ما يكون برنامج واحد و لكن غالبا مايتكون من عدة عناصر لروتكيت, من ناحية أخرى فإن عناصر متعددة لروتكيت نادرا ما تكون برامج قائمة بحد ذاتها و إنما التغيرات التي تم إجراؤها على غيرها من مكونات نظام (برامج مستخدم ،جزء من نواة أو فضائية أخرى ) .هذا نوع من التغيرات التي تعتقد أنها فكرة تدخل المرتبطة بالبرمجيات الخبيثه التي تنتشر وفق أهدافها .



الاحتفاظ بالوقت


غيرها من البرامج الأخرى لا علاقة بالوقت ماعدا في بعض الحالات لصنع قنابل منطقية إذا تعلق الزناد بعامل الوقت .


في حالة روتكيت ،مهاجم يتحكم في النظام لتنفيذ بعض العمليات (سرقت معلومات ،حرمان من خدمات ... لخ) و عليه ضمن قدرته للوصول إلى هدفه .



تحكم إحتيالي عبر نظام المعلومات



هذا يعني أنا المهاجم لديه الإمتيازات اللازمة لأداء العمليات عندما لا يكون قادرا على تشغيل نظام و التحكم فيه ،يحاول المهاجم للحفاظ على



السيطرة دون علم مستخدم النظام ،لذا يلزم تواصل بين النظام و صاحب روتكيت .



الهيكل الوظيفي لروتكيت



و يقصد به عناصر متورطة عند استخدام روتكيت


أول خطوة هو تثبيت روتكيت و الاحتفاظ بتحكمه بالنظام حيث أنه بحاجة إلى وجود وحدة حمايه بعد ذلك فإن المهاجم يستخدم روتكيت كوسيط مع النظام حيث أنه يحتوي على وحدة أساسية تستعمل كواجهة بين نظام و المهاجم باكدور



الحاقن


و الواقع أن المهاجم تمكن من الحصول على نظام من خلال استغلال خلل البرمجيات أو كلمة مرور ضعيفه و من ثم يثبت روتكيت على نظام


طبيعة الحاقن مهما كان روتكيت مراد تثبيته على فضاء المستخدم أو النواة أو سبرفيسور من الضروري الوصول إلى النظام و من ثم تعديل هياكل معينه للنظام مرة واحدة فقط


هذه الآلية التي يستخدمها المهاجم لإدراج روتكيت في نظام (عدوا تصيب وحدات النواة ، حقن جزء من برمجيات عبر ( مثلا dev/km /)و الواقع أن المهاجم تمكن من الحصول على النظام من خلال استغلال خلل في البرمجيات أو كلمة مرور الضعيفة و من ثم يثبت روتكيت على النظام




طبيعة الحاقن يبقى نفسها مهما كان روتكيت مراد تثبيته على فضاء مستخدم أو النواة أو هيبيرفيسر .


من الضروري دائما الوصول إلى النظام و من ثم تعديل هياكل معينه للنظام مرة واحدة فقط .



وحدة الحماية


هدفها هو جعل روتكيت صعب على النظام من الممكن جمع بين عدة استراتيجيات لتشمل الأمثلة التالية


إخفاء الجذور الخفية


يمكن التمييز بين الحالتين ،من جهة هو إخفائه في نظام عندما يكون في حالة نشيطة من ناحية أخرى إذا كان روتكيت في حالة نشاط مستمر و جزء من التعليمات البرمجية مقيمين على النظام هو أكثر خفية.


روتكيت أكثر مقاومة


بافتراض أن روتكيت كشف أمره فهذه حاله يلزم على روتكيت توفير قدرات مقاومة على محاولات إزالة على سبيل مثال بمجرد كشف عن روتكيت يمكن تهديد المستخدم بكسر بيوس من اللوحة الأم و يستند هذا الواقع على نظرية اللعبة يسعى روتكيت على وضع المستخدم في حالة تجبره على إعادة تثبيت النظام بالكامل .


جعل روتكيت ثابت


هو جعل روتكيت في حالة نشاط دائمه حتى في إعادة تشغيل كمبيوتر و بالتالي يتم حقن جزء من برمجيات في مكونات غير متطايرة من النظام


إخفاء نشاط المهاجم


أولا إخفاء كل ما يتعلق من استخدامات المهاجم من معالج ،شبكة ،ملفات .


ثانيا يتمثل في إخفاء سجلات أحداث المتعلقة بالمهاجم .



باب الخلفي


يسمح للمهاجم الحفاظ على السيطرة و من ناحية الحفاظ على الخدمات و يعتمد على مايريد أي يفعله بالنظام .


و أخيرا يتميز الباب الخلفي بسهم توجيه تفاعلات مع النظام و تنقسم إلى قسمين مستقلين عن بعضهما


من نظام المهاجم إلى نظام المستهدف حيث من وسائل الاتصال التي يستخدمها المهاجم إجراء محادثة مع روتكيت (إتصال مهاجم عبر حساب موجود على نظام و اتصالات تتم من خلال ذاكرة تخزين مؤقت عبر قناة خفيه


من نظام البيني إلى خدمات روتكيت


هذا قسم يميز مسار روتكيت عند رد على إستفسارات مهاجم لتلبية احتياجات المرتبطة بالأهداف


الخدمات


روتكيت يوفر خدمات عديدة التي ينفذها المهاجم اللازمة على نظام البيني حيث نميز نوعين من خدمات


خدمات سلبيه و التجسس من خلال خدمات التجسس يمكن للمهاجم الحصول على معلومات الحساسه و مثال نموذجي على ذلك كي لوجر التي تسمح له بقراءة الحروف التي تم ادخالها على لوحة مفاتيح نظام


خدمات فعالة هذه عادة ما يستخدمها المهاجم لتنفيذ عمليات على عكس الأنظمة الأخرى (حرمان من الخدمة إزالة معلومات أو برمجيات ....)


كما أنه يشمل على خدمات أخرى تمكن المهاجم لتردد على أنظمة أخرى لمواصلة المزيد من التدخل فيها .



Botnet.svg تصغير كيفية عمل الروتكيت



شاركنا رأيك

 
التعليقات

لم يعلق احد حتى الآن .. كن اول من يعلق بالضغط هنا

أقسام شبكة بحوث وتقارير ومعلومات عملت لخدمة الزائر ليسهل عليه تصفح الموقع بسلاسة وأخذ المعلومات تصفح هذا الموضوع روتكيت تعريف # اخر تحديث اليوم 2024-03-28 ويمكنك مراسلتنا في حال الملاحظات او التعديل او الإضافة او طلب حذف الموضوع ...آخر تعديل اليوم 12/10/2023


اعلاناتتجربة فوتر 1