Rootkity

Již pěknou řádku let se stránka rootkit.com zabývala zkoumáním technik a způsobů skrývání přítomnosti na cílovém počítači. Mohli jste na ní mimo jiné nalézt zajímavé kousky kódu, zejména zdrojáky proof-of-concept rootkitů, které dokázaly skrývat procesy, soubory, vlákna, ovladače či dokonce obsah paměti.

Rootkit.com však již nějakou dobu není dostupná. Porotže si myslím, že je škoda, aby některý její obsah takto zmizel z povrchu Internetu, rozhodl jsem se zdrojové kódy a jiné informace o některých rootkitech zveřejnit zde, na svých stránkách. Další materiály lze nalézt na relativně novém diskusním fóru kernelmode.info.

U každého rootkitu uvádím jméno a v závorce techniky, které používá.

  • FU (DKOM, skrývá procesy a ovladače, mění oprávnění)
  • FUTO (DKOM, vylepšená varianta FU)
  • NTROOTKIT (SSDT hooking, lze jej doprogramovat tak, aby skrýval v podstatě cokoliv)
  • Shadow Walker (TLB desynchronizace, skrývá obsah oblastí paměti)
  • phide_ex (DKOM a možná ještě něco, skrývá proces a vlákno)
  • Unreal (DKOM, File System Filter, skrývá ovladač a alternativní datový proud)
  • AK922 (Kernel hooking, skrývá soubor)
  • BadRKDemo (Kernel inline hooking, zabraňue přístupu k objektům se jménem BadRKDemo – registry, soubory)
  • Vanquish (User mode hooking)
  • AFX Rootkit 2005 (User mode hooking, napsán v Delphi)
  • WinlogonHjack (Ukázka odchytávání přihlašovacích údajů uživatelů, funguje asi jen na XP)
  • HE4HOOK
  • phide2 (skrývání procesu v jádře pomocí kopírování částí kódu plánovače)
  • bootkitprivilege
  • n00bkit (user mode, srkývání procesů a jiných objektů, logování komunikace)
"Matika je hrozně exaktní věda, jen se občas musí něco zanedbat."