Rootkits και Keyloggers

[Codehack]

Συνήθως, ένα keylogger (αν είναι της προκοπής βέβαια) θα σου περάσει και ένα rootkit για να αποκρύψει τον εαυτό του και από τον χρήστη και από λοιπά προγράμματα.

 

Για να καταλάβεις πως λειτουργεί ένα keylogger που κάνει hook το keyboard, σκέψου το queue ως μια λεωφόρο όπου τα αμάξια που περνάνε είναι τα πλήκτρα που πατάει ο χρήστης. Όταν εγκαθίσταται ένα hook στο keyboard, δημιουργείται ένας παράδρομος στη λεωφόρο, όπου τα αμάξια είναι αναγκασμένα να περάσουν πριν ξαναμπούν στην λεωφόρο. Στον παράδρομο λοιπόν, που είναι το hook σου, εσύ ελέγχεις τι μάρκα είναι το κάθε αμάξι, το καταγράφεις και το ξαναστέλνεις στον κεντρικό δρόμο.

 

Όπως ένα keylogger λειτουργεί συνήθως βάσει hooks, ένα rootkit λειτουργεί (συνήθως) παρομοίως. Πολύ συχνά, ένα rootkit θα κάνει hook functions του WinAPI όπως NtQueryInformationProcess(), ZwQueryInformationProcess() ή EnumProcesses για να μπλοκάρει το process το οποίο προστατεύει από το να φανέι (π.χ στον task manager). Βέβαια, το να εγκαταστήσεις hooks στις παραπάνω διεργασίες, θέλει low-level access, ήτοι kernel mode (ring 0).

 

Από την άλλη, υπάρχουν και τα userkits, τα οποία παίζουν σε ring 3 (usermode) και συνήθως αυτό που κάνουν είναι να αφαιρούν το process entry από την listview του task manager.

 

Ελπίζω να σε κάλυψα.

[M2000]

Ωραίος! Ναι το θέμα είναι ότι οι Downloaders  π.χ. για ένα παιχνίδι μπορεί να κάτσουν ως drivers και τότε την έκατσε ο χρήστης...Πρέπει κανείς σε κάθε κλικ που κάνει από ύποπτη σελίδα για να κατεβάσει κάτι να δει τι είναι πρώτα...μην το δώσει για εκτέλεση!