Un rootkit est un logiciel suspect n'est pas parce qu'il attaque ou inflige des dommages à un ordinateur, mais parce qu'il s'enfonce profondément dans le système d'exploitation de l'ordinateur, ce qui rend difficile à détecter. Il se cache dans les dossiers système et modifie subtilement les paramètres de registre pour le faire apparaître comme un fichier légitime . Il ne fait pas grand chose à part se cacher et attendre une commande externe d'un utilisateur ou d'un programme pour l'activer. Il existe actuellement quatre types connus de rootkits. Les rootkits persistants
des rootkits persistants activer pendant le redémarrage . Typiquement, un cache de rootkit persistant dans le registre de démarrage, Windows charge qui à chaque fois de l'ordinateur redémarre . Il est difficile à détecter car il imite les actions de fichiers informatiques valides et il s'exécute sans intervention de l'utilisateur . Les virus et autres logiciels malveillants peuvent se greffer sur un rootkit persistant, car , en plus d'être difficile à trouver, il ne disparaît pas lorsque l'ordinateur s'arrête.
Basée sur la mémoire Rootkits
< br >
Contrairement rootkits persistants , un rootkit basé sur la mémoire est désactivé quand un ordinateur redémarre . Rootkits basés sur la mémoire s'enfoncent dans la RAM de l'ordinateur ( mémoire vive ) . La RAM est l'espace temporaire que des programmes comme Microsoft Word, Excel , Outlook et les navigateurs Web occupent lorsque ces programmes sont ouverts . Lorsque vous ouvrez un programme , l'ordinateur alloue un espace dans la mémoire vive . Lorsque vous fermez le programme, l'ordinateur libère l'espace d'adressage pour les autres programmes à utiliser. Le rootkit basé sur la mémoire fait la même chose . Il occupe un espace d'adressage de la RAM. Lorsqu'un ordinateur s'arrête , tous les programmes sont fermés, qui se jette les espaces de mémoire , y compris le rootkit.
En mode utilisateur Rootkits
en mode utilisateur s'infiltre rootkit le système d'exploitation encore plus profonde. Il se stocke dans des dossiers cachés du système et le registre et exécute les tâches effectuées par les fichiers système valides. Une façon , il échappe à toute détection est qu'il intercepte le logiciel qui , autrement, pourraient détecter. Le rootkit en mode utilisateur peut lui-même intégré sur un programme qui scanne les virus. Lorsque le programme s'exécute , les interceptions de rootkit qui d'action comme si c'est celui qui fait le balayage . Au lieu du programme retournant une détection, il ne renvoie rien .
En mode noyau Les rootkits
Un rootkit en mode noyau est encore plus dangereux qu'un rootkit en mode utilisateur . Rootkits en mode utilisateur d'intercepter logiciel valide pour revenir à un résultat différent , mais ils courent encore les processus qui peuvent être détectés . Un rootkit en mode noyau se cache en supprimant les processus qui lui sont associés . Cela rend la détection plus difficile , parce que c'est comme si le rootkit en mode noyau n'existe pas. Il ne sera pas affiché dans le gestionnaire de tâches ou tout autre logiciel qui affiche tous les processus en cours d'exécution sur l'ordinateur. La détection des rootkits en mode noyau implique une technique sophistiquée de trouver des différences entre le registre du système .