Ce qui est un kit de racine et comment des intrus entrent dans votre ordinateur avec lui

Un kit de racine est un ensemble d'outils employés par un intrus après avoir fendu un système informatique. Ces outils peuvent aider l'attaquant à maintenir son accès au système et à l'employer pour des buts malveillants. Les kits de racine existent pour une variété de logiciels d'exploitation tels que Linux, Solaris, et versions de Microsoft Windows.

Le terme « kit de racine » (également écrit en tant que « rootkit ») s'est à l'origine rapporté à un ensemble de recompiled des outils d'Unix tels que la « picoseconde », le « netstat », le « W » et le « passwd » qui cacheraient soigneusement n'importe quelle trace du biscuit que ces commandes montreraient normalement, de ce fait permettant aux biscuits de maintenir la « racine » sur le système sans interface gestionnaire les voyant même.

Généralement maintenant la limite n'est pas limitée aux logiciels d'exploitation basés par Unix, comme outils exécuter dont un ensemble semblable charge existent maintenant pour les logiciels d'exploitation de non-Unix tels que le Microsoft Windows (quoique de tels logiciels d'exploitation peuvent ne pas avoir un compte de « racine »). Elle est commune pour le terme « rootkit » pour se rapporter à un programme de « grain-mode » (c'est-à-dire, agissant en tant qu'élément du logiciel d'exploitation), par opposition à un programme de « utilisateur-mode » (c'est-à-dire, les programmes qui fonctionnent en tant que des applications normales ou outils).

La distinction principale entre un virus d'ordinateur et un kit de racine se relie à la propagation. Comme un kit de racine un virus d'ordinateur modifie des composants de logiciel de noyau du système, insérant le code que les tentatives de cacher la « infection » et fournit un certain dispositif ou service additionnel à l'attaquant (la « charge utile » d'un virus).

Dans le cas du kit de racine la charge utile peut essayer de maintenir l'intégrité du kit de racine (le compromis au système) --- par exemple chaque fois qu'on court la commande de la picoseconde du kit de racine il peut vérifier les copies de l'init et de l'inetd sur le système pour s'assurer qu'elles sont encore compromises, et « re-les infectant » selon les besoins. Le reste de la charge utile est là pour s'assurer que le biscuit (attaquant) peut continuer à commander le système. Ceci implique généralement d'avoir des backdoors sous forme de paires hard-coded d'username/mot de passe, commande-ligne cachée commutateurs ou les arrangements magiques de variable d'environnement qui renversent les politiques normales de contrôle d'accès du uncompromised des versions des programmes. Quelques kits de racine peuvent ajouter les contrôles de frappement gauches aux démons existants de réseau (services) comme l'inetd ou le sshd

Un virus d'ordinateur peut avoir n'importe quelle sorte de charge utile. Cependant, le virus d'ordinateur essaye également de s'écarter à d'autres systèmes. En général un kit de racine se limite à la commande de maintien d'un système.

Un programme ou une suite des programmes que des tentatives de balayer automatiquement un réseau pour les systèmes vulnérables et d'exploiter automatiquement ces vulnérabilités et de compromettre ces systèmes désigné sous le nom d'un ver d'ordinateur. D'autres formes de vers d'ordinateur fonctionnent plus passivement, reniflant pour des usernames et des mots de passe et en utilisant ceux pour compromettre des comptes, installant des copies d'elles-mêmes en chaque un tel compte (et transmettant par relais habituellement l'information de compte de compromis de nouveau au biscuit/à attaquant par une certaine sorte de canal secret).

Naturellement il y a des hybrides. Un ver peut installer un kit de racine, et un kit de racine pourrait inclure des copies d'un ou plusieurs vers, renifleurs de paquet ou modules de balayage gauches. En outre plusieurs des vers d'E-mail auxquels les plateformes de MS Windows sont uniquement vulnérables désigné généralement sous le nom des « virus. » Tellement toutes ces limites ont l'utilisation légèrement de recouvrement et peuvent être facilement combinées.

Un certain nombre de nouveaux outils de détection de rootkit ont été créés comprenant Blacklight (fenêtres), rkhunter (unix/linux).