مقایسه آنتی ویروس ارائه لایسنس اورجینال آنتی ویروس | لایسنس فا

مقایسه آنتی ویروس لایسنس آنتی ویروس اورجینال لایسنس آنتی ویروس و خرید آنتی ویروس اورجینال لایسنس آنتی ویروس آویرا اینترنت سکیوریتی اینترنت سکیوریتی ای وی جی نود 32

روت کیت چیست و چگونه کار می کند

روت کیت چیست؟

روت کیت یک ویروس، کرم، تروجان و حتی یک جاسوس افزار نیست- علی رغم نامش که این تصور را ایجاد می کند شاید جاسوس افزار باشد- قطعا روت کیت بخشی از ماشین آلات کشاورزی نیز نیست. پس روت کیت چه می تواند باشد؟

با اینکه روت کیت ها کمی شباهت به بدافزارها دارند؛ اما ذاتا مخرب نیستند. با این حال، آن ها قادرند سیستم عامل کامپیوتر را دستکاری کنند و به کاربری از راه دور قابلیت دسترسی به اطلاعات ادمینستر را بدهند. این قابلیت، روت کیت ها را در بین جنایتکاران سایبری به ابرازی بسیار معروف تبدیل کرده است.

روت کیت چیست؟ روتیک چگونه کار می کند؟

در ادامه اطلاعات بیشتری درباره روت کیت ها خواهید خواند، عملکرد آن ها را متوجه خواهید شد، و خواهید فهمید چگونه باید از سیستم خود در برابر چنین تهدید سایبری ای محافظت کنید.

تعریف روت کیت

عبارت روت کیت اصالتا از سیستم عامل یونیکس ریشه گرفته است، و کلمه ی روت برای توصیف بالاترین سطح ممکن دسترسی استفاده شده است، مشابه با کلمه ادمینیستر در ویندوز. کلمه ی کیت به نرم افزاری بر می گردد که امکان دسترسی روت به ماشین را فراهم کرده است. حال این دو کلمه را سرهم کنید تا واژه روت کیت به دست آید. روت کیت برنامه ای است که به شخصی امکان دسترسی انحصاری به یک کامپیوتر را می دهد – با اهدافی مخرب و یا اهدافی قانونی.

روت کیت قادر است تغییراتی اساسی را به وجود آورد، می تواند خودش را پنهان و فایل ها را اجرا کند و تغییراتی را در سیستم اعمال کرده بدون اینکه مالک حتی از وجود آن آگاه باشد.

در اوایل روت کیت به لینوکس و یونیکس محدود بود، اما در نهایت توانست راه خود را به سمت سیستم عامل ویندوز باز کند. او ابتدا از NTRootKit شروع کرد؛ ابزاری که هدفش ویندوزهای NTای بودند که تاریخچه شان  به سال 1999بازمی گشت. از آن پس، روت کیت به سرعت بر روی ویندوزها پیشروی کرد و امروزه در دنیای دیجیتال تبدیل به یک آفت لجباز و هم چنین رایج شده است.

روت کیت چیست؟ روتیک چگونه کار می کند؟

روتیک چگونه کار می کند؟

روت کیت ها خودشان قدرت انتشار ندارند و در عوض به روش هایی مخفیانه متکی میشوند تا بتوانند به کامپیوتر شما نفوذ کرده و آن را آلوده کنند. آن ها با مخفی کردن خودشان در نرم افزاری که به نظر قانونی می رسد خود را منتشر می کنند و می توانند شروع به کار کنند. با این حال زمانی که شما اجازه می دهید این نرم افزار در سیستم شما نصب شود، روت کیت خیلی مخفیانه به درون سیستم شما می خزد و بی صدا باقی می ماند تا زمانی که هکر آن را فعال کند. متاسفانه تشخیص روت کیت ها و حذف آن ها کار بسیار مشکلی است چرا که آن ها قادرند خودشان را از چشم کاربران، ادمینیسترها و انواع نرم افزارهای امنیتی پنهان کنند. به زبان ساده، زمانی که یک روت کیت به سیستم شما نفوذ کرد قدرت انجام فعالیت های مخربش بسیار بالاست.

دیگر عواملی که موجب نفوذ روت کیت در سیستم می شوند  شامل موارد ذیل اند: ایمیل هایی که باجگیری می کنند، دانلود از وب سایت های حیله گر، و اتصال به درایوهای مشترکی که در معرض خطر قرار دارند. لازم به ذکر است که برای نفوذ روت کیت ها حتما نباید فایلی را اجرا کنید- گاهی نفوذ روت کیت ها به سادگی باز کردن یک فایل ورد یا پی دی اف است.

روت کیت دارای چهار نوع اصلی است:

روت کیت هسته یا کرنل

روت کیت های کرنل باعث تغییری در عملکرد سیستم عاملتان می شوند. این نوع روت کیت ها  معمولا کد خود را (و گاهی ساختارهای داده شان) را به بخشی از هسته سیستم عامل می افزایند (که از آن به نام کرنل یاد می شود). ایجاد یک روت کیت تقریبا کاری پیچیده است، و اگر اینکار نادرست انجام شود، تاثیری شدید بر عملکرد سیستم می گذارد. خبر خوب این است که تشخیص بیشتر روت کیت های کرنل نسبت به دیگر انواع آن ساده تر است.

SmartService یک مثال بسیار خوب از روت کیت کرنل است. SmartService شما را ممکن می سازد که از آنتی ویرس استفاده نکنید، و به موجب آن به عنوان یک بادیگارد برای محافظت در برابر تبلیغات های مزاحم و تروجان هایی عمل می کند که ممکن است در ماشین وجود داشته باشند.

روت کیت های یوزر مد

روت کیت های یوزر مود به عنوان یک برنامه عادی به هنگامی که سیستم راه اندازی می شود شروع به کار می کنند و یا توسط یک دراپر به درون سیستم نفوذ پیدا می کنند. روش های متعددی برای نفوذ این روت کیت وجود دارد که به شدت به سیستم عامل مورد استفاده بستگی دارند. در حالی که روت کیت های ویندوز سعی دارند تا کارکرد مبنای فایل های DLL ویندوز را دستکاری کنند، در سیستم های یونیکس باید کل برنامه عوض و جایگزین شود.

امروزه روت کیت های یوزر مود در بدافزارهای مالی خیلی مشهور شده اند. یکی از بیشترین بدافزارهای تکثیر شده مالی Carberp نام دارد که این روش را پیش گرفته و کدهای مرجع آن نیز سال ها پیش لو رفته است، لذا مولفه روت کیت یوزر مود مربوط به آن بارها و بارها بازیابی شده است و در بیشتر خانواده های بدافزارهای مالی یافت می شود.

روت کیت های بوت لودر

روت کیت های بوت لودر بلوک های ساختمانی کامپیوتر شما را هدف قرار می دهند و به بخش مستر بوت رکورد (رکورد راه اندازی اصلی) نفوذ می کنند (بخشی اصلی که به کامپیوتر شما می آموزد چگونه سیستم عامل را لود کند). این نوع از روت کیت هارا نمی توان نابود کرد چرا که اگر بوت لودر کدی را به MBR  تزریق کند، از بین بردن آن ممکن است به کامپیوتر شما آسیب برساند.

سیستم عامل های مدرن همانند ویندوز 8 و 10 به این نوع روت کیت ها مقاومند چرا که دارای بوتی امن می باشند. در نتیجه می توان گفت بوت کیت ها منقرض شده اند. یک خانواده برجسته از بوت کیت ها خانواده ی Alureon/TDL-4 است که از سال 2007 تا 2012 فعال بوده اند. بدافزار Alureon توسط مولفه ی بوت کیت خود محافظت می شد و بنای خود را بر این گذاشته بود که پیش از اینکه خالقانش در اواخر سال 2011 دستگیر شوند به دومین بوت نت فعال تبدیل شود.

روت کیت های حافظه

این نوع از روت کیت ها در حافظه کامپیوتر وجود دارند (RAM). برخلاف دیگر انواع روت کیت ها که ممکن است برای سال ها بدون اطلاع شما در کامپیوترتان پنهان شده باشند، روت کیت های حافظه، زمانی که شما کامپیوتر خود را ریبوت می کنید گم می شوند چرا که محتوای رم به هنگام راه اندازی ریست می شوند.

با اینکه انواع زیادی روت کیت وجود دارد، بیشتر آن ها دارای وظایفی مشابهند: آن هاآثار خود (یا نرم افزارهای همکارشان) را از سیستم عامل پاک می کنند. آن ها می توانند به روش هایی متفاوتی این کار را انجام دهند. برای مثال، ویندوز دارای یک عملکرد داخلی است که مسئول لیست کردن محتوای فولدرهاست.

یک روت کیت می تواند این عملکرد مبنا را تغییر دهد (API)، لذا نام فایلی که حاوی روت کیت است هیچ گاه نمایش داده نمی شود، و این باعث می شود که فایل ناگهان از چشم کاربری معمولی پنهان شود. در خلال دستکاری دیگر APIهای ویندوز، نه تنها فایل ها و فولدرها پنهان می شوند، بلکه برنامه های فعال، پورت های ارتباطی باز در شبکه ی مورد استفاده ، و یا کلیدهای رجیستری نیز پنهان می شوند. البته این ها تنها تعداد کمی از اقدامات استتار کننده می باشند که توسط روت کیت انجام می شود.

روت کیت چیست؟ روتیک چگونه کار می کند؟

آیا روت کیت ها نوعی بدافزارند؟

همانطور که اخیرا نیز گفتیم، روت کیت ها بیشتر توسط توزیع کنندگان بدافزار استفاده می شوند، اما آیا این به تنهایی آن ها را مخرب به حساب می آورد؟

در یک کلام باید گفت خیر. روت کیت ها ذاتا خطرناک نیستند. تنها هدف آن ها پنهان کردن نرم افزار و جا گذاشتن آثاری از خودشان در سیستم عامل است. اینکه نرم افزار پنهان شده یک برنامه مخرب و یا قانونی باشد بحث دیگری است.

مثال های زیادی از روت کیت های قانونی در چند سال گذشته وجود دارد، که یکی از معروف ترین این مثال ها سیستم حفاظت در برابر کپی  سی دی Sony BMG است. در سال 2005، یک فرد خبره در زمینه ویندوز به نام مارک روسینوویچ این را در “حفاظت در برابر کپی سی دی Sony BMG” یافت که سیستم آن باعث شده بود بخشی از نرم افزار به صورت اتوماتیک نصب شود، بدون اینکه کاربر آن را تایید کرده باشد و بدون اینکه در لیست فرایندها نمایش داده شود و از نصب خارج کردن آن نیز غیرممکن بود (در واقع خودش را از کاربر پنهان می کرد). هدف این نرم افزارِ حفاظت در برابر کپی این بود که خریدار یک سی دی موسیقی نتواند به هیچ وجه محتوای صوتی آن سی دی را بخواند و آن را به صورت غیرمجاز دوباره توزیع کند.

ساختار و پنهان سازی روت کیت ها

با اینکه شاید روت کیت ها دارای برنامه ای مجاز باشند، شایان ذکر است که جنایتکاران سایبری کسانی اند که بیشترین بهره را از قدرت روت کیت ها می برند. چرا که روت کیت ها برای پنهان کردن فرآیندهای در حال اجرا، فایل ها و فولدرها، استفاده می شوند و هکرها اغلب از آن ها برای پنهان کردن نرم افزارهای مخرب از دید کاربر استفاده می کنند و لذا آنتی ویروس ها به سختی می توانند آن ها را یافته و برنامه های آن ها را حذف کنند.

روت کیت ها بیشتر برای کی لاگرها استفاده می شوند چرا که می توانند بین سیستم عامل و سخت افزار کامپیوتر شما نفوذ کنند و هر کلیدی که فشار می دهید را ضبط کنند. به علاوه، هکرها از روت کیت ها برای ایجاد بوت نت هایی استفاده می کنند که از میلیون ها ماشین تشکیل شده اند، که این ماشین ها از روت کیت ها برای انجام برداشت ارزهای رمزنگاری شده، راه اندازی حملات DDOS و انجام دیگر کارهای غیرقانونی در گستره ای وسیع استفاده می کنند.

امسی سافت چگونه با روت کیت ها مبارزه می کند؟

آنتی ویروس های معتبر برای تشخیص روت کیت تلاش می کنند. بیشتر روت کیت ها، توانایی شان بیشتر از پنهان شدن از دید اسکنرهای ویروس و دیگر برنامه ها می باشد که همه این ها تحلیل و مقابله با چنین مشخصه هایی را برای نرم افزارهای آنتی ویروس غیرممکن می سازد.

خوشبختانه، آنتی بد افزار امسی سافت بر اساس قاعده ای متفاوت کار می کند. امسی سافت به جای اینکه بر شناسایی این مشخصه ها تاکید داشته باشد، بلوکر رفتاری آن قادر به تشخیص تلاش هایی مخرب است تا به عملکردهای مرتبط سیستم دسترسی پیدا کند و برنامه مورد نظر را پیش از اینکه تغییری بر روی سیستم اعمال کند، متوقف کند.

این رویکرد بسیار بدیع برای جنگ با روت کیت ها و بدافزارها، آنتی بدافزار امسی سافت را قادر ساخته است تا انواع حملات دیجیتالی را تشخیص داده و مسدود کند. این حملات دیجیتالی شامل تهدیدهایی می باشند که از قبل هیچ گاه کسی با آن ها مواجه نشده است.


برچسب ها: , , ,