روت کیت Rootkit چیست ؟ قبل از اینکه بخام به بحث فنی و علمی در مورد روت کیت Rootkit بپردازم اول میخام یه تعریف ساده از روت کیت Rootkit داشته باشیم تا بریم به بخش های بعدی , داستان اسب تروا رو شنیدین ؟  زمانهای قدیم یه شهری بوده که در مقابل دشمن اصلا سقوط نمیکرده و مردمش خیلی مقاوم بودن تا اینکه دشمن میاد یه فکری میکنه یه اسب بزرگ میسازن داخلش رو پر نیروی جنگی میکنن و اسب رو خارج دروازه های شهر ول میکنن و میرن و مردم داخل شهر به فکر اینکه دشمنها خسته شدن و برگشتن دروازه ها رو باز میکنن تا اسب رو به نشانه پیروزی و خسته کردن دشمن بیارن داخل شهر ، بعد که اسب رو میبرن داخل ، شبانه جنگجوهای داخل اسب میان بیرون و خلاصه همه شهر رو محاصره میکنن

خوب حالا شاید براتون سوال پیش بیاد که این موضوع چه ربطی به روت کیت Rootkit میتونه داشته باشه در سیستم های کامپیوتری هم یه همچنین روالی برقرار هستش بطوریکه برخی از برنامه های مخرب برای اینکه بتونن وارد سیستم شما بشن راهی ندارن جز اینکه داخل برنامه های امن و معتبر و مورد اعتماد شما قائم شده و وارد سیستم بشن که بعد از نشستن روی سیستم دسترسی های لازم رو برای کارهای دیگه ایجاد کنن بطور مثال شما به بعضی از برنامه ها مثل آفیس , تلگرام , فتوشاپ و…. اعتماد کامل دارید و در حین نصب این برنامه ها به هر دسترسی که بخان اجازه خواهید داد ولی غافل از اینکه اگر هر کدام از این برنامه ها از منبع مورد اعتماد دانلود و نصب نشده باشن هر کدوم میتونن حاوی روت کیت Rootkit یا دهها برنامه مخرب دیگه باشن از طرفی با توجه به اینکه روت کیت Rootkit ها در دسته بندی ویروس نیستند هیچ ویروس یابی قادر به تشخیص اونها نیست و برای شناسایی  و از بین بردن انها فقط باید از Anti Malware ها بهره برد که یکی از بهترین این برنامه ها Malewarebyte هستش . شرکت های بزرگ برای اطمینان دادن به کاربرانشون برای اینکه از صحت اطلاعات دریافتی و برنامه ها مطئمن باشن از روش checksum استفاده میکنن که برای اشنایی با این روش میتونید ویدیویی که در این زمینه منتشر کردم رو تماشا کنید .

انواع روت کیت ها

kernel mode : این نمونه از روت کیت ها در هسته سیستم عامل نفوذ کرده و میتوانند تغییرات و کدهای خود را در هسته سیستم عامل جاگذاری کرده و همانند سیستم عامل دسترسی های لازم به منابع سیستم داشته باشند.

user mode : این نوع از روت کیت ها همانند با بوت شدن سیستم به همراه دیگر برنامه ها اجرا خواهند شد و همانند نرم افزارها عمل کرده و در سطح برنامه های عمومی و نرم افزارهای موجود روی سیستم تغییرات و دسترسی های لازم را به دست خواهند گرفت .

bootkit : این نوع از روت کیت ها ماندگاری بسیار بالایی خواهند داشت چرا که خود را در MBR یا master boot record سیستم ها جا داده و به راحتی قابل انتقال میباشند و از لحظه بوت اختیار سیستم را به دست میگیرند و حتی با فرمت حتی نصب ویندوز جدید نیز شما قادر به حذف ان نخواهیدبود زیرا در منطقه ای از حافظه قرار گرفته که با فرمت و اف دیسک نیز قادر به دسترسی به ان بخش حافظه نیستید .

برخی از خرابکاری هایی که  روت کیت Rootkit ها انجام میدن به شرح ذیل هستش

• ایجاد دسترسی یا در پشتی backdoor برای هکرها که هر وقت دوست داشتن ازادانه و بدون مشکل به هر جای سیستم دوست داشتن سر بزنن
• سرقت پسوردها و متن های مکالمه و…..
• استفاده از سیستم شما به عنوان سیستم زامبی برای عملیات های بعدی بطوریکه سیستم شما بعنوان ابزاری برای حمله به دیگران , سرقت اطلاعات و… مورد استفاده قرار خواهد گرفت و دهها مورد خرابکارانه که این برنامه های مخرب میتوانند بی سر و صدا و بدون اطلاع شما از سیستم شما برای اجرای انها استفاده نمایند

خوب حالا باید برای جلوگیری از اینکه مورد هجوم  روت کیت Rootkit قرار نگیریم چه کارهایی باید کرد اولین کار مهم پیشگیری هستش یعنی هیچ برنامه  ای رو از منبع غیر مجاز دانلود نکنید بطور مثال الان خیلی مشاهده میشه که برنامه های مسنجر مثل تلگرام و خیلی اپلیکیشن های دیگه رو در گروهها دست به دست میکنن و به بهانه تلگرام طلایی و یا ضد فیلتر از همه میخان که نصبش کنن با توجه به اینکه گوگل پلی و اپل استور اجازه نمیده برنامه های مخرب در فروشگاهاشون قرار بگیرن برای همین این برنامه ها برای نصب شدن همین طور در گروهها دست به دست میشن پس از نصب برنامه از منبع غیرمجاز خودداری کنید حالا با توجه به اینکه نمیشه فتوشاپ و یا خیلی برنامه های دیگه رو که پولی هستن رو از منبع اصلی شون دانلود کرد برای اینکه در این زمینه هم ایمن باشید حتما روی سیستم یه انتی مال ور anti malware نصب بکنید تا در صورتی که ناگزیر شدید تا از منابع غیر امن برنامه دانلود کنید حتما در حین نصب اگر مشکلی داشته باشه این برنامه به شما گزارش خواهد داد تا از نصب برنامه خودداری کنید