Arkadaşlar Kernel Mode Firmware Seviyesinde Çalışan Advanced Rootkilerin Temel Çalışma Mantıkları Nasıl ?
Advanced Rootkiler ?
- Konuyu başlatan Xantares34'
- Başlangıç tarihi
Gelişmiş rootkit'lerin temel mantığı, işletim sisteminin veya hatta donanımın "gerçeği algılama" yeteneğini ele geçirmektir. İki ana seviyede çalışırlar: Kernel (Çekirdek) Seviyesi ve Firmware Seviyesi.
Kernel-mode rootkit'ler, işletim sisteminin en ayrıcalıklı kalbi olan çekirdeğin içine yerleşirler. "Aktif işlemleri göster" veya "dosyaları listele" gibi en temel sistem komutlarının arasına girerek, bu komutların sonuçlarını size ulaşmadan önce manipüle ederler. Kendi zararlı dosyalarını, ağ bağlantılarını ve işlemlerini bu listelerden silerek kendilerini tamamen görünmez kılarlar. Siz Görev Yöneticisi'ne baktığınızda her şey normal görünür, çünkü size "gerçeği" söylemesi gereken mekanizmanın kendisi yalan söylemektedir.
Firmware seviyesindeki rootkit'ler (bootkit'ler) ise daha da derine inerek, işletim sistemi daha yüklenmeden önce, bilgisayarın açılış anında devreye girerler. Anakartın UEFI/BIOS çipine veya diskin başlangıç sektörlerine yerleşirler. Temel mantıkları, temiz bir diskten yüklense bile, işletim sistemini belleğe aktarılırken yolda "enfekte etmektir". Böylece işletim sistemi daha "doğduğu an" ele geçirilmiş olur. Bu seviyedeki bir enfeksiyon, format atmakla veya diski değiştirmekle temizlenemez, çünkü zararlı yazılım artık bilgisayarın donanımının bir parçası haline gelmiştir. Modern sistemlerdeki "Secure Boot" özelliği, tam olarak bu tür saldırıları engellemek için tasarlanmıştır.
Kernel-mode rootkit'ler, işletim sisteminin en ayrıcalıklı kalbi olan çekirdeğin içine yerleşirler. "Aktif işlemleri göster" veya "dosyaları listele" gibi en temel sistem komutlarının arasına girerek, bu komutların sonuçlarını size ulaşmadan önce manipüle ederler. Kendi zararlı dosyalarını, ağ bağlantılarını ve işlemlerini bu listelerden silerek kendilerini tamamen görünmez kılarlar. Siz Görev Yöneticisi'ne baktığınızda her şey normal görünür, çünkü size "gerçeği" söylemesi gereken mekanizmanın kendisi yalan söylemektedir.
Firmware seviyesindeki rootkit'ler (bootkit'ler) ise daha da derine inerek, işletim sistemi daha yüklenmeden önce, bilgisayarın açılış anında devreye girerler. Anakartın UEFI/BIOS çipine veya diskin başlangıç sektörlerine yerleşirler. Temel mantıkları, temiz bir diskten yüklense bile, işletim sistemini belleğe aktarılırken yolda "enfekte etmektir". Böylece işletim sistemi daha "doğduğu an" ele geçirilmiş olur. Bu seviyedeki bir enfeksiyon, format atmakla veya diski değiştirmekle temizlenemez, çünkü zararlı yazılım artık bilgisayarın donanımının bir parçası haline gelmiştir. Modern sistemlerdeki "Secure Boot" özelliği, tam olarak bu tür saldırıları engellemek için tasarlanmıştır.
