Rootkit Nedir?
Kök kullanıcı takımı ya da rootkit; dosyaları veya sistem bilgilerini işletim sisteminden gizlemek amacıyla varlığını gizlice sürdüren bir program veya programlar grubudur. Amacı yayılmak değil, bulunduğu sistemde varlığını gizlemektir(kaynak: wikipedia).
Rootkit zararlı yazılımını diğer zararlı yazılımlardan ayıran özelliklerden biri de 'root(Yönetici)' olarak çalışmasıdır. Bir rootkit kendi başına tehlikeli değildir, fakat farklı zararlı yazılımlarla birlikte çalışırlarsa zarar verme potansiyelleri yükselir. Rootkit'lerin amacı bulunduğu sistemde varlığını gizlemek olduğundan, normal bir kullanıcı ve antivirüs tarafından kolay bir şekilde tespit edilemez. Genelde kullanılan işletim sisteminin derinlerine yerleşirler ve sistemi buradan kontrol ederler. Böylece görev yöneticisi, web tarayıcısı veya antivirüsün sisteme ilişkin sorgularını yakalar, sorguyu tespit edilmemek için değiştirir, izlerini siler ve sahte bir yanıt vererek yakalanmaz.
Rootkit Tarihçesi
İlk rootkit Lane Davis ve Steven Dake tarafından 1990 yılında 'Sun Microsystems' firmasının 'SunOS UNIX' isimli işletim sistemi için hazırlandı. Windows NT için ilk zararlı rootkit ise 1999 yılında Greg Hoglund tarafından oluşturuldu. Greg Hoglund hazırladığı rootkit'in ismini 'NTRootkit' koydu.Bir araştırma sebebiyle yazılan bu rootkit ile ilgili yazı, bilgisayar bilimi dergisi 'Phrack' üzerinde yayınlandı.
Bundan sonra çıkan 'HackerDefender' adlı rootkit ise 2003 yılında hazırlandı. Mac OS X için hazırlanan ilk rootkit ise 2009 yılında çıktı. PLC'leri(Programlanabilir Mantıksal Denetleyici, İngilizce: Programmable Logic Controller) hedefleyen ilk rootkit ise 'Stuxnet' oldu.
Rootkitler Nasıl Çalışır?
Rootkitler üç tiptir, bunlar; 'User-Mode, Kernel-Mode ve donanıma müdahale eden rootkit' şeklinde sıralanabilir. Açmak gerekirse; Yazılımlar işlevlerine ve yazıldıkları dile bağlı olarak Kernel-Mode'da veya User-Mode'da çalışırlar.
İşletim sistemi, bir metin düzenleyici gibi bir kullanıcı uygulamasını çalıştırdığında, sistem User-Mode'dadır. User-mode'dan Kernel-Mode'a geçiş, uygulama işletim sisteminin yardımını istediğinde veya bir kesinti ya da bir sistem çağrısı sırasında gerçekleşir.
Mod biti, User-Mode'da 1'e ayarlanır. User-Mode'dan Kernel-Mode'a geçerken 1'den 0'a değiştirilir.
Rootkitler de yazıldıkları dil ve işlevlerine göre Kernel-Mode veya User-Mode'da çalışırlar. En tehlikeli rootkitler genelde Kernel-Mode'da çalışanlardır. Düşük seviyeli rootkitler ise User-Mode katmanının Kernel-Mode katmanına yakın yerlerinde çalışırlar.
Eğer rootkitler sisteme yerleşmeye çalışırken herhangi bir sorunla karşılaşır ve sisteme yerleşmede başarısız olursa Windows için 'KERNEL_SECURITY_CHECK_FAILURE' hatası, Linux içinse 'Kernel Panic!' hatasını alırız.
KERNEL_SECURITY_CHECK_FAILURE Hatası;
Kernel Panic! Hatası;
Bilinmesi önemli olan bir şey de, her Kernel hatasının rootkit'e işaret etmediği, Kernel hatalarını sürücülerden dolayı da alma ihtimaliniz var.
Son düzenleme:
