Руткит-технологии позволяют вредоносной программе решать достаточно широкий спектр задач. Перечислим основные из них.
Маскировка. Руткит может маскировать как свое присутствие в системе, так и присутствие защищаемого им вредоносного программного обеспечения. Современный руткит способен достаточно эффективно маскировать ключи в реестре, файлы на диске, запущенные процессы, загруженные драйверы и библиотеки.
Защита от удаления. Помимо маскировки, руткит может активно противодействовать уничтожению самого себя и защищаемого им ПО. Нередко вредоносной программой применяется целый комплекс мер по защите: блокировка удаления объекта (в том числе отложенного удаления файлов, что значительно усложняет борьбу с защищаемыми объектами), циклическое пересоздание объектов, переименование объектов в ходе перезагрузки и т. п.
Шпионаж. Перехват API-функций позволяет руткиту осуществлять мониторинг их вызовов, что идеально подходит для решения задач шпионажа. Например, несложно построить руткит-кейлоггер или руткит, следящий за работой пользователя в Интернете и перехватывающий интересующую его создателя информацию, например результаты заполнения форм авторизации или поисковые запросы. Типовым примером подобного кейлоггера является руткит семейства Trojan-Spy.Win32.Banker. Так, на сайте https://www.virus-list.com можно найти подробное описание одной из его разновидностей. Данная вредоносная программа применяет руткит-технологии для мониторинга обмена с интернет-банками.
Защита от антивирусов. Руткит может контролировать все файловые операции и операции с реестром в пораженной системе. Следовательно, он может обнаружить факт установки или запуска антивирусного программного обеспечения и активно противодействовать этому процессу. Ситуация усугубляется тем, что любой антивирус наиболее уязвим именно на стадии его инсталляции, и, следовательно, для разработчика руткита не составляет особого труда составить базу данных, позволяющую руткиту детектировать факт установки антивирусного ПО. Данное направление сейчас активно развивается. Первые варианты руткитов использовали банальные методики типа блокировки запуска файлов с определенными именами (например, запуск файла avz.exe блокировался, но его переименование в 123.pif позволяло обойти руткит). Более сложные современные руткиты стали применять намного более опасные методики, в частности детектирование антивирусов по сигнатурам. Применение сигнатурного сканера в рутките существенно повысило их эффективность. Например, сигнатура текстовой строки «Лаборатория Касперского» позволяет руткиту блокировать любой продукт, содержащий подобную строчку в копирайтах или в теле программы. Кроме того, сигнатурный сканер в составе руткита в сочетании с базой имен характерных файлов позволяет нанести удар не только по исполняемым файлам антивируса, но и по его базам. Опознав объект антивируса, руткит может блокировать к нему доступ, повредить его (например, осуществив запись некоторых случайных данных в начало файла) или удалить. По статистике обращений на форумы типа virusinfo.info можно утверждать, что подобные технологии применяются все чаще.
Защита от антируткитов. Для защиты от антируткитов применяются методики, идентичные методикам защиты от антивируса, но они могут быть дополнены специальными приемами (скажем, подменой содержимого системных файлов, анализ которых необходим антируткитам для поиска перехватов). В качестве типового примера приведем компонент червя Bagle, подменяющий содержимое файла ntoskrnl.exe при его чтении с диска. Анализ данного файла необходим антируткиту для сравнения машинного кода ядра и таблицы KiST в памяти с эталоном, в качестве которого выступает данный файл. Подмена содержимого ntoskrnl.exe позволяет руткиту вызвать сбой в данной проверке. Другим примером может являться создание маскируемого процесса-ловушки. Для этого руткит маскирует любой из системных процессов и производит мониторинг обращений к этому процессу. Логика защиты основана на том, что маскируемый процесс невидим через системное API, следовательно, обращение к нему возможно только со стороны антируткитов, снабженных функцией поиска скрытых процессов. В ответ на такое обращение руткит может нарушить работу процесса антируткита – в частности, подобная методика успешно применялась в почтовом черве Worm.Win32.Feebs. Еще одной методикой защиты является мониторинг перехваченных функций. Обнаружение факта восстановления их машинного кода или снятие установленных руткитом перехватов позволяет однозначно детектировать факт использования антируткита. Мера защиты в данном случае – или восстановление перехватов (применялось в руткитах типа Backdoor.Win32.Haxdoor), или нарушение работы системы и провоцирование BSOD.
(Зайцев О.В. Технология Rootkit – современная угроза
из прошлого // Защита информации. INSIDE. 2008. №5. С. 51–52)
В). Прочитайте текст. Найдите в нем особенности, характерные для публицистического стиля (использование лексики из общественно-политической и экономической сфер, использование терминологии, эмоционально окрашенных слов, штампов публицистического стиля, изобразительно-выразительных средств – тропов и фигур речи). Выделите в тексте аргументы, оцените их убеждающую силу.
Европа, ты офигела!
Мне тут говорят, что я ругаю европейские ценности. Что вот, мол, нынешнее состояние Европы – это офигеть и венец развития, и всем надо смотреть, открыв рот, и подражать.
Хорошо бы провести инвентаризацию этих ценностей по гамбургскому счету.
Ценность № 1: единство Европы.
Это сейчас – одна из самых важных европейских ценностей. Европа объединяется, исчезают границы, и еврочиновники в Брюсселе принимают благодетельные указы о степени кривизны огурцов и продаже яиц на вес. Объединение – это, может, и замечательно, но вот беда – с момента распада империи Карла Великого и до момента образования Евросоюза Европа не была единой.
Китайская империя была, Халифат был, Блистательная Порта были едиными – а вот Европа не была, и все время, пока Европа завоевывала мир, части ее находились в жесточайшей конкуренции между собой. И эта конкуренция и способствовала прогрессу. Великобритания стала империей не просто так, а в борьбе против Испании; Пруссия стала Германской империей не просто так, а в результате жестких реформ, без которых государство не выжило бы в кольце врагов.
То есть, внимание: может быть, единство – это очень хорошо. Это офигительно. Но это не есть европейская ценность времен расцвета Европы. В зените своей славы Европа не была единой.
Ценность № 2: всеобщее избирательное право.
Еще нам говорят, что демократия – это европейская ценность и европейское завоевание; что это самый офигительно хороший режим, и при этом под демократией разумеют всеобщее избирательное право. Кто против всеобщего избирательного права – тот фашист, негодяй и вообще – гад.
Сейчас я на минуточку воздержусь от оценок работоспособности всеобщего избирательного права в какой-нибудь Гане или Палестине, но вот проблема: а какое отношение universalsuffrage имеет к традиционным европейским ценностям?
Вы мне не подскажете, для какой демократии Колумб открывал Америку, а сэр Френсис Дрейк грабил испанские корабли?
На Западе времен его расцвета были представлены самые разные режимы: парламентская монархия, как в Великобритании, где круг избирателей был ограничен налогоплательщиками; республика, как в США, где опять-таки избиратели были налогоплательщиками. Абсолютная монархия, как в Пруссии, Испании или России.
Но вот всеобщего избирательного права не было решительно ни в Великобритании, ни в США, и Томас Маколей, историк и член британского парламента, писал в середине XIX века, что это понятие «совершенно несовместимо с существованием цивилизации».
Первый раз всеобщее избирательное право было введено во Франции во времена Великой французской революции и кончилось гильотиной и террором; второй раз (для мужчин) ввел его железный канцлер Бисмарк в Германской империи в 1871 году, желая разбавить свободомыслие немецких собственников шовинистическим угаром безмозглых масс.
Ценз стал понижаться, а избирательное право стало распространяться на неимущих после Первой мировой войны, и окончательно всеобщим оно стало после Второй мировой, под влиянием социалистической идеологии. Во всех нищих странах, в которых его пытались ввести – в той же Африке, – всеобщее избирательное право приводило к переделу собственности, распространению религиозного и национального фанатизма и кончалось диктатурой.
Но я сейчас о другом. Допустим, всеобщее избирательное право – это венец развития. Допустим, каждый безработный ублюдок, громящий лондонский магазин, – это и есть тот парень, который должен решать, как нам всем жить, и кто это отрицает – тот ретроград и фашист. Но при чем здесь европейские ценности? Всеобщее избирательное право не существовало на Западе, пока Запад владел миром. Когда оно пришло на Запад, Запад свое господство в рекордные сроки утратил.
(Латынина Ю. Европа, ты офигела! // Новая газета. URL: https://www.novayagazeta.ru/poli tics/48064.html (дата обращения: 20.01.2014))