Артем Баранов

Для хакеров и вирусописателей во все времена был актуален вопрос, как сделать работающий код, файл на диске или раздел реестра невидимым для программ, работающих в системе. Решение этого вопроса пришло из мира UNIX и называется rootkit.

Под руткитом понимается технология, используя которую, можно скрыть в системе что угодно, в том числе работающий процесс, файл на диске, раздел реестра. Применяя такую технологию, хакер может скрыть раздел в реестре, куда записался бэкдор или работающий клиентский модуль трояна. С появлением такой технологии в Windows у администраторов начались головные боли. Вы сможете гораздо эффективнее решить проблему, если будете понимать, как устроены руткиты, для чего они нужны, с помощью чего можно их удалять и как это делать вручную. В статье рассмотрены руткиты для Windows NT 5 (Windows 2000, 2003 Server, XP).

В Windows существует два вида руткитов, различных в схеме работы и устройстве. Первые, руткиты пользовательского режима, функционируют на третьем кольце х86. Вторые, руткиты режима ядра, функционируют на нулевом кольце или на уровне ядра NT.