Rootkit - mối nguy hiểm ti�m tà ng
Bạn đã từng nghe nói v� rootkit ở đâu đó? Bạn không thực sự hiểu rõ rootkit là gì? Rootkit có phải là một loại sâu, virus hay trojan? Rootkit có thực sự nguy hiểm?... Trong bà i viết nà y, chúng tôi sẽ giải đáp giúp bạn đ�c những thắc mắc v� rootkit, đồng th�i giới thiệu một số phần m�m miễn phà giúp bạn "hạ gục nhanh tiêu diệt g�n" rootkit.
Khái niệm rootkit
Khái niệm rootkit được sá» dụng để mô tả các cÆ¡ chế và kÄ© thuáºt được sá» dụng bởi malware (malware là các phần má»?m là m sai chức năng chÆ°Æ¡ng trình ứng dụng gồm: virus, spyware, và trojan...) cố gắng ẩn nấp, trốn tránh không bị phát hiện bởi các chÆ°Æ¡ng trình chống spyware, virus và các tiện Ãch hệ thống. Thá»±c ra, rootkit tá»± bản thân không mang tÃnh hiểm Ä‘á»™c nhÆ°ng khi chúng được sá» dụng cùng vá»›i các chÆ°Æ¡ng trình mang tÃnh "phá hoại" nhÆ°: virus, sâu, phần má»?m gián Ä‘iệp, trojan... thì lại nguy hiểm hÆ¡n rất nhiá»?u.
Rootkit nguy hiểm như thế nà o?
Rootkit thá»±c tế chẳng gây ảnh hưởng xấu nà o. Mục Ä‘Ãnh duy nhất của rootkit là ẩn nấp, và tránh không bị phát hiện. Tuy nhiên, rootkit được sá» dụng để giấu các Ä‘oạn mã hiểm Ä‘á»™c thì rất nguy hiểm. Má»™t số các sâu, virus, trojan và phần má»?m gián Ä‘iệp vẫn có khả năng duy trì hoạt Ä‘á»™ng và không bị phát hiện khi sá» dụng rootkit. Các malware sẽ không bị phát hiện tháºm chà khi hệ thống được bảo vệ bởi các chÆ°Æ¡ng trình chống virus tốt nhất. Do đó, Rootkit thá»±c sá»± là mối Ä‘e dá»?a rất nghiêm trá»?ng.
Thá»±c ra, hiện nay chỉ có má»™t và i các phần má»?m gián Ä‘iệp và virus sá» dụng rootkit để lẩn trốn. Má»™t trong những và dụ Ä‘iển hình là sá» dụng rootkit để xâm nháºp hệ thống là vụ ăn trá»™m mã nguồn trò chÆ¡i nổi tiếng Half-Life 2.
Rootkit được sá» dụng phổ biến trong các phần má»?m gián Ä‘iệp hÆ¡n là các virus. Má»™t Ä‘iá»?u chắc chắn là rootkit vẫn là kÄ© thuáºt còn Ä‘ang phát triển, chÆ°a có nhiá»?u trong thá»±c tế, nên mối Ä‘e dá»?a hiện tại của rootkit không lá»›n lắm so vá»›i những mối nguy hiểm tiá»?m tà ng của kÄ© thuáºt nà y.
Phân loại Rootkit
Rootkit được phân loại dựa trên sự duy trì sau khi khởi động lại hoặc hoạt động ở chế độ ngư�i dùng (user mode) hay ở chế độ cấp hệ thống (kernel mode).
Rootkit bám dai (Persistent Rootkits)
Persistent root kit là má»™t loại rootkit kết hợp vá»›i các malware khác hoạt Ä‘á»™ng má»—i khi hệ thống khởi Ä‘á»™ng. Bởi vì các malware chứa mã phá hoại sẽ được thá»±c thi tá»± Ä‘á»™ng má»—i khi hệ thống khởi Ä‘á»™ng hoặc khi ngÆ°á»?i sá» dụng đăng nháºp và o hệ thống. Chúng cần phải lÆ°u trữ các Ä‘oạn mã thá»±c thi chÆ°Æ¡ng trình trong Registry, các táºp tin hệ thống và các phÆ°Æ¡ng pháp cho phép âm thầm chạy các Ä‘oạn mã mà ngÆ°á»?i sá» dụng không hay biết
Rootkit trên bộ nhớ (Memory-Based Rootkits )
Loại rootkit nà y chÃnh là các malware không có những Ä‘oạn mã "dai dẳng" - chỉ lÆ°u trong bá»™ nhá»›, chÃnh vì thế loại rootkit nà y không tồn tại sau khi khởi Ä‘á»™ng lại máy.
Rootkit chế độ ngư�i dùng (User-mode Rootkits)
Rootkit ở chế Ä‘á»™ ngÆ°á»?i dùng sá» dụng nhiá»?u phÆ°Æ¡ng pháp khác nhau để lẩn trốn không bị phát hiện. Và dụ: rootkit ở chế Ä‘á»™ ngÆ°á»?i dùng sẽ chặn tất cả các hà m gá»?i hệ thống API (Application Programming Interface - Giao tiếp láºp trình ứng dụng) nhÆ°: FindFirstFile/FindNextFile. Những hà m nà y được gá»?i bởi các chÆ°Æ¡ng trình quản lý táºp tin của Windows nhÆ° Explorer và dấu đợi lệnh, để liệt kê toà n bá»™ các thÆ° mục táºp tin hệ thống. Khi má»™t ứng dụng thá»±c thi liệt kê danh sách thÆ° mục và các táºp tin có thể chứa rootkit, các rootkit nà y sẽ chặn các hà m nà y và thay đổi các kết quả dữ liệu đầu ra nhằm loại bá»? các táºp tin chứa rootkit khá»?i danh sách liệt kê.
Các hà m API hệ thống của Windows cung cấp giao tiếp (interface) giữa chế Ä‘á»™ ngÆ°á»?i dùng và dịch vụ hệ thống. Những rootkit ở chế Ä‘á»™ ngÆ°á»?i dùng phức tạp hÆ¡n sẽ chặn các táºp tin hệ thống, Registry, và các hà m liệt kê các tiến trình (process) từ các hà m API hệ thống. Do đó, má»?i sá»± phát hiện bởi các chÆ°Æ¡ng trình quét táºp tin mà lấy kết quả từ các hà m liệt kê API của Windows Ä‘á»?u bị thay đổi. ChÃnh vì lẽ đó, hầu hết các chÆ°Æ¡ng trình diệt virus, spyware không thể phát hiện được rootkit.
Rootkit chế độ nhân (Kernel-mode Rootkits)
Rootkit chế Ä‘á»™ nhân nguy hiểm hÆ¡n các loại trên, chúng không chỉ chặn các hà m API hệ thống mà còn có thể thao tác trá»±c tiếp các cấu trúc dữ liệu trong chế Ä‘á»™ nhân. Má»™t kÄ© thuáºt chung cho việc ẩn nấp các tiến trình malware là loại bá»? các tiến trình nà y ra khá»?i danh sách các tiến trình ở chế Ä‘á»™ nhân. Bởi vì các hà m API quản lý các tiến trình Ä‘á»?u phải phụ thuá»™c và o ná»™i dung trong các cấu trúc dữ liệu nà y, nên khi rootkit thay đổi ná»™i dung cấu trúc dữ liệu hệ thống thì các công cụ nhÆ° Task Manager hoặc Process Explorer cÅ©ng không thể phát hiện được.
Những malware nà o sá» dụng kÄ© thuáºt rootkit?
Và i Rootkit mang đúng ý nghÄ©a và tÃnh chất của rootkit được biết đến nhÆ°: Hacker Defender và FU. Má»™t số phần má»?m gián Ä‘iệp, quảng cáo có sá» dụng rootkit: EliteToolbar, ProAgent, and Probot SE. Các trojan nhÆ°: Berbew/Padodor và Feutel/Hupigon và má»™t số sâu nhÆ°: Myfip.h và há»? sâu Maslan cÅ©ng sá» dụng rootkit.
Dự đoán v� rootkit
Rootkit thá»±c sá»± đã trở thà nh phổ biến trong các phần má»?m gián Ä‘iệp và chúng cÅ©ng sẽ dần phổ biến trong các virus và sâu. Các tác giả viết virus bây giá»? đã chuyên nghiệp hÆ¡n và cÅ©ng hoạt Ä‘á»™ng vá»›i mục Ä‘Ãch kinh doanh nữa. ChÃnh vì váºy, há»? hoà n toà n có đủ kÄ© năng cÅ©ng nhÆ° trình Ä‘á»™ để cà i đặt các rootkit rất phức tạp và o trong virus và sâu.
Rootkit có thể là m ẩn các trojan và thÆ° rác (spam) lâu hÆ¡n trên những máy bị nhiá»…m. Ä?ây cÅ©ng là má»™t nguyên nhân dẫn tá»›i sá»± bùng nổ rootkit trong tÆ°Æ¡ng lai.
Tại sao các chương trình diệt virus không phát hiện rootkit trước khi chúng kịp ẩn nấp?
Ä?iá»?u nà y đúng nhÆ°ng chỉ trong má»™t số trÆ°á»?ng hợp. Bởi vì rootkit thÆ°á»?ng được phát tán bằng mã nguồn mở, Ä‘iá»?u nà y có nghÄ©a là hacker có thể thay đổi mã rootkit má»™t cách nhanh chóng để các chÆ°Æ¡ng trình diệt virus không thể phát hiện được. Má»™t số phần má»?m chống virus má»›i có thể phát hiện được rootkit nhÆ° F-Secure Internet Security 2005 có tÃnh năng "Manipulation Control". TÃnh năng nà y có cÆ¡ cấu chặn các tiến trình hiểm Ä‘á»™c "thao tác" gây ảnh hưởng tá»›i các tiến trình khác. Tuy nhiên, chÆ°Æ¡ng trình F-Secure Internet Security 2005 cÅ©ng chỉ chặn được má»™t và i rootkit.
Phần m�m tiêu diệt Rootkit
Rootkit khi kết hợp vá»›i malware trở nên nguy hiểm hÆ¡n rất nhiá»?u. Váºy có phần má»?m nà o có thể phát hiện được rootkit Ä‘ang ẩn nấp trong hệ thống ?
Dưới đây là một số phần m�m có thể phát hiện và tiêu diệt rootkit:
RootkitRevealer là chÆ°Æ¡ng trình tìm và tiêu diệt rootkit khá hiệu quả và hoà n toà n miá»…n phÃ, dung lượng chỉ 190KB. ChÆ°Æ¡ng trình có giao diện Ä‘Æ¡n giản bạn chỉ cần nhấn nút Scan và RootkitRevealer sẽ thá»±c hiện công việc của mình. Ä?ể biết thêm thông tin và là m thế nà o để sá» dụng chÆ°Æ¡ng trình tháºt hiệu quả. Bạn có thểđá»?c thêm thông tin trong phần hÆ°á»›ng dẫn hoặc truy cáºp tại Website: http://www.sysinternals.com/utilitie...trevealer.html
BlackLight là phần má»?m tiêu diệt rootkit của hãng F-Secure. Hiện nay, phiên bản beta của BlackLight miá»…n phÃ, bạn có thể download tại: http://www.europe.f-secure.com/exclu...ht/index.shtml
