RootKits e Detecção: Métodos e Ferramentas
•Transferir como PPTX, PDF•
0 gostou•249 visualizações
Rootkits são ameaças invisíveis que ocultam intrusos dentro de sistemas, modificando processos e programas. Existem dois tipos: modo usuário que modifica arquivos e conexões de rede, e modo kernel que altera o próprio kernel para mascarar processos. A detecção é feita em modo live, no sistema em execução, ou post mortem, em imagens de disco, usando técnicas comportamentais ou verificação de integridade. Várias ferramentas como RootKitRevealer, Helios, BlackLight e TDSSKiller auxili
Recomendados
Recomendados
Mais conteúdo relacionado
Semelhante a RootKits e Detecção: Métodos e Ferramentas
Semelhante a RootKits e Detecção: Métodos e Ferramentas (20)
RootKits e Detecção: Métodos e Ferramentas
- 2. Alunos: Emerson Guimarães; Jander Cerqueira; Jeferson Gonzaga; Thiago Esquivel Docente: Paulo Nazareno MBA em Segurança da Informação
- 3. O que são RootKits ? • São considerados ameaças invisíveis; • Seu principal objetivo esconder um intruso dentro de um sistema, através de ocultação de processos e/ou programas; • É oriundo dos sistemas UNIX; • RSA Conferência • Surgimento de Ferramentas • Usado comercialmente (Sony) • Direitos digitais e propriedade intelectual
- 4. RootKits Modo Usuário Modificação de Arquivos, conexões de redes, ocultação de processos Ex: ps, ls, who, netstat Modo Kernel Altera o próprio kernel do S.O Altera forma dos processos vistos Tela azul
- 5. Detecção de RootKits A detecção de rootkits são feitas em dois modos. São eles: Modo Live, feito no próprio equipamento e com o sistema “rodando”; Modo Post Mortem, feito em uma imagem do disco;
- 6. Modo Live Técnica predominante em um sistema é referenciada como “Comportamental” ou “Diferencial”. A técnica consiste em fazer dois tipos diferentes de consulta para a mesma informação e procurando nas respostas pode ser detectado um rootkit ou algo sendo camuflado pelo rootkit.
- 7. Modo Post Mortem É feita o carregamento da imagem em modo de somente leitura. Os dados são carregados em modo de arquivos em uma nova unidade de disco. Independente se os arquivos estejam com ou sem o atributo de “Ocultos”, eles serão carregados como “Visíveis”.
- 8. Outros métodos de detecção Pesquisa por caracteres; Verificação de integridade; Verificação de processos do sistema e bibliotecas; Análise de MAC times; Análise de conexões de rede; Analise processos do sistema e símbolos do kernel; Procura por outros indícios; Detecção de substituição; Detecção de jumps incondicionais; Detecção de funções que tiveram o seu código alterado.
- 9. Ferramentas
- 10. RootKit Reveler Apesar de ter sido projetado para detectar os rootkits que ocultam arquivos e chaves de registro, ele não detecta os que modificam objetos do kernel.
- 11. Helios Apesar de ser descrito como um “sistema avançado de detecção de malware” ele também não só detecta, como também não permite a entrada de rootkits.
- 12. F-Secure BlackLight O BlackLight detecta objetos ocultos por tecnologias de rootkit e fornece ao usuário a oportunidade de eliminar ou remover o software ofensivo.
- 13. Anti-rootkit utility TDSSKiller (KasperSky) É uma ferramenta de detecção e remoção de rootkits, não necessita ser instalada. Atua na lista de rootkits conhecidos e derivados, sua lista de famílias é bem extensa.
- 14. Rootkit Removal (Sophos) É uma ferramenta de varreduras, detecta e remove qualquer Rootkit.
- 15. RootkitBuster (TrendMicro) É uma ferramenta gratuita que verifica arquivos ocultos, entradas de registro, processos, drivers e o registro mestre de inicialização (MBR) para identificar e remover rootkits.