Slijede razlike između dviju inačica stranice.
| Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
|
racfor_wiki:seminari2025:hb53863 [2026/01/11 16:07] Hrvoje Biloš [Otkrivanje rootkita] |
racfor_wiki:seminari2025:hb53863 [2026/01/12 19:49] (trenutno) Hrvoje Biloš [Sažetak] |
||
|---|---|---|---|
| Redak 3: | Redak 3: | ||
| ===== Sažetak ===== | ===== Sažetak ===== | ||
| - | How do you write an abstract? Identify your purpose. You're writing about a correlation between lack of lunches in schools and poor grades. … Explain the problem at hand. Abstracts state the “problem” behind your work. … Explain your methods. … ([[https:// | + | Rootkiti predstavljaju veliku opasnost u području računalne sigurnosti zbog svoje sposobnosti dugotrajne i prikrivene prisutnosti u sustavima. Rootkit je tempirana bomba zbog svoje uloge u otvarajući vrata ostalim vrstama napadima dok sama ne sudjeluje u njihovom izvršavanju, |
| - | + | ||
| - | Keywords: rootkit; forenzika; malver; | + | |
| ===== Uvod ===== | ===== Uvod ===== | ||
| Redak 87: | Redak 84: | ||
| ==== Anti-rootkit programi/ | ==== Anti-rootkit programi/ | ||
| - | Postoje razni anti-rootkit proizvodi npr. Rootkit Revealer, Blacklight, GMER, Icesword, Zeppoo, kstat, KsID ... Iako sam alat nije lijek za sve, on može pružiti korisne informacije o stanju operativnog sustava. Mnogi stariji rootkiti modificiraju SSDT i IAT tablice hookvima kako bi izravno upućivale na vlastiti kod, i ovakve vrste promjena skeneri mogu trivijalno otkriti skenirajući IAT i SSDT tablice tražeći pokazivače koje ne upućuju na samu jezgru. Postojanje hooka ne jamči prisutnost rootkita, postoje i legitimne aplikacije koje mogu hookat kao što su anti-virusne aplikacije i vatrozid. U teoriji, u operativnom sustavu bi trebalo biti dovoljno malo hookova da se svaka može pažljivo ispitati i utvrditi jeli zlonamjerna ili ne. Noviji rootkiti ne hookaju tablice izravno, već mijenjaju kod legitimnog API rukovatelja ili DLL-a kako bi umetnuli JUMP instrukciju unutar zaglavlja datoteka koja upućuje na rootkit i time ostavljaju tablicu netaknutom i nepromijenjenom. Dok svaki proces koji pokušava pozvati taj API bit će preusmjeren na rootkit. Slika ispod (slika) | + | Postoje razni anti-rootkit proizvodi npr. Rootkit Revealer, Blacklight, GMER, Icesword, Zeppoo, kstat, KsID ... Iako sam alat nije lijek za sve, on može pružiti korisne informacije o stanju operativnog sustava. Mnogi stariji rootkiti modificiraju SSDT i IAT tablice hookvima kako bi izravno upućivale na vlastiti kod, i ovakve vrste promjena skeneri mogu trivijalno otkriti skenirajući IAT i SSDT tablice tražeći pokazivače koje ne upućuju na samu jezgru. Postojanje hooka ne jamči prisutnost rootkita, postoje i legitimne aplikacije koje mogu hookat kao što su anti-virusne aplikacije i vatrozid. U teoriji, u operativnom sustavu bi trebalo biti dovoljno malo hookova da se svaka može pažljivo ispitati i utvrditi jeli zlonamjerna ili ne. Noviji rootkiti ne hookaju tablice izravno, već mijenjaju kod legitimnog API rukovatelja ili DLL-a kako bi umetnuli JUMP instrukciju unutar zaglavlja datoteka koja upućuje na rootkit i time ostavljaju tablicu netaknutom i nepromijenjenom. Dok svaki proces koji pokušava pozvati taj API bit će preusmjeren na rootkit. Slika ispod prikazuje aplikaciju Icesword koji prijavljuje niz jezgrenih hookova. |
| ===== Zaštita od rootkita ===== | ===== Zaštita od rootkita ===== | ||
| Redak 117: | Redak 114: | ||
| ===== Zaključak ===== | ===== Zaključak ===== | ||
| - | TODO... | + | Rootkiti predstavljaju jednu od najsloženijih kategorija zlonamjernog softvera zbog svoje sposobnosti duboke integracije u operativni sustav i aktivnog prikrivanja tragova kompromitacije. Njihova prisutnost značajno otežava forenzičku analizu jer narušavaju pouzdanost standardnih alata i tehnika prikupljanja dokaza. Razina na kojoj rootkit djeluje izravno utječe na šansu otkrivanja, štetni potencijal i složenost uklanjanja. Analiza različitih vrsta rootkita pokazuje da napadači kontinuirano pomiču granice prema nižim razinama sustava, uključujući boot mehanizme, firmver i hardver, čime dodatno smanjuju mogućnost otkrivanja i povećavaju perzistentnost napada. Dok su proizvođači i akademici u utrci za naoružanjem osmišljavajući sve bolje mehanizme zaštite kritičnim dijelovima sustava. Iako postoje brojni alati i metode za detekciju rootkita, nijedna pojedinačna tehnika ne može se smatrati univerzalnim rješenjem. U praksi je nužna kombinacija više forenzičkih pristupa. Preventivne mjere, poput redovitog ažuriranja softvera, edukacije korisnika, praćenja mrežnog prometa, imaju ključnu ulogu u smanjenju vjerojatnosti uspješne infekcije. Rootkiti ostaju ozbiljna prijetnja suvremenim informacijskim sustavima, osobito u okruženjima s visokim zahtjevima za povjerljivost i integritet podataka. Razumijevanje njihovih mehanizama rada i ograničenja forenzičkih metoda ključno je za učinkovit odgovor na incidente i očuvanje digitalnih dokaza u modernim kibernetičkim napadima. |
| ===== Literatura ===== | ===== Literatura ===== | ||