Описанные выше базовые методики перехвата функций поясняют основные принципы работы RootKit. Однако следует помнить, что разработчики RootKit-технологий не стоят на месте, в результате постоянно появляются новые разработки, подходы и методы.
Практика показывает, что разработчики вредоносных программ (вирусов, троянских программ, шпионского ПО) все чаще начинают использовать RootKit-технологии, что существенно затрудняет обнаружение и удаление созданных ими вредоносных программ. Чаще всего применяются методики перехвата функций в режиме пользователя, но в последнее время появились весьма эффективные реализации с применением драйверов. В этом плане по статистике наиболее «знаменит» Backdoor. Win32.Haxdoor, который устанавливает в систему несколько драйверов, что позволяет ему достаточно эффективно маскироваться от обнаружения пользователем.
Список использованной литературы
Г. Хоглунд, Дж. Батлер — Руткиты. Внедрение в ядро Windows.
Д. Колиснеченко — Руткиты под Windows: Теория и практика программирования.
Возможности rootkit и борьба с ними. http://www.cybersecurity.ru/manuals/crypto/law/5734.html.
Windows под прицелом http://www.securitylab.ru/contest/212 106.php.
