السلام عليكم، لا أريد الإطالة في المقدمات كثيرا، اليوم الموضوع إن شالله راح يكون مفيد جدا و يهم المتحمسين في تعلم الجديد والضالعين في مجال القرصنة وأمن المعلومات، وطبعا الموضوع نظري بحت.
نبذة بسيطة:هل صادف وأن سمعت بشيء يسمى ب تقنية ال (RootKit)، حاليا تعتبر هذه التقنية إلى حد بعيد من أذكى التقنيات, حتى أن برامج الحماية أصبحت تعاني الأمرَّين بسبب الروت كيت

ما هو الروت كيت؟

الروت كيت تقنية في الأكواد والبريمجات تصرح لها وجوداً دائماً في النظام وغير قابل للكشف من برامج المراقبة، وبشكل احترافي الروت كيت هو الغير قابلية للكشف* "undetectable" , وهو مفيد إن أردت الحضور الدائم في نظام معين، أما إذا كنت تخطط لسرقة معلومات ومن ثم ترك النظام فلا أعتقد أنك تحتاج لوضع أثر لك في ذلك النظام بعد أن قضيت وطرك منه.

هنا نلاحظ هذه الخاصية في برنامج Poison Ivy




كيف يعمل الروت كيت؟ (How Do Rootkits Work) :

فكرة وطريقة عمل الروت كيت ليست معقدة كثيرا، فهو يعمل بمبدأ يسمى التعديل (modification), فلنتابع معاً السطور القادمة لفهم هذه السنفونية..
الترقيع (Patching):

الكود (الملف*) القابل للتنفيذ (Executable code ) يحتوي على متسلسلة من التعابير المشفرة كبايتات بياناتية.
وهذه البايتات تكون منظمة بدقة، وكل بايت منها يعني شيء ما للكمبيوتر،و البرامج يمكن أن تُعدَّل إذا تم تعديل هذه البايتات، هذا التعديل أو التغير يسمى (ترقيع).
وفي الحقيقة أن البرمجيات (Software) ليست ذكية، فهي تقوم بما تُخبر به فقط، ولا تعمل شيء غير ذلك. لهذا السبب التعديل فيها له أثر في عملها، فالترقيع أحد الوسائل التي يستخدمها الكراكرز (Crackers) للتنصل من برامج الحماية والمراقبة، ومن الطريف في الأمر أن الترقيع أيضا يستخدم لخداع ألعاب الفيديو (Video Games) مثلا لإعطائك زمن أطول للحياة أو جمع عدد أكبر من الذهب والنقاط أو فضح فريق كرة قدم كبير مثل البرازيل بتسجيل عدد خيالي من الأهداف في شباكه خخ.


تعديل الكود البرمجي (Source-Code Modification):

يمكن تغيير الأكواد المصدرية للملفات، حيث أن المبرمج البارع يمكن أن يدخل (insert) ما يسمى بالسطور الخبيثة هه (malicious lines) إلى سطور الأكواد الأصلية للبرنامج، وما يسمى بالبرامج المفتوحة المصدر (open-source programs) فهذه تسمح لأي شخص في التعديل على البرنامج، بحيث يمكن للمبرمج الخبيث أن يعرض برنامج معين لما يسمى بفيض الذاكرة * (overflow buffer) في هدف محدد، ومن ثم استغلال هذا الهدف لوضع باك دور.




هنا نلاحظ (خريطة التدفق البرمجي) لملف محقون بروت كيت
وللتوضيح أكثر عن خريطة التدفق البرمجي فهي بشكل مبسط عبارة عن المتسلسلات والخوارزميات التي يقوم بها برنامج ما، ويساعد رسم مثل هذه الخرائط إلى التخطيط السليم للمبرمج قبل قيامه بتخليق برنامجه.
أنواعه:

تنقسم أنواع الروت كيت إلى ثلاثة أنواع حسب موقع ومكان الملفات والأنظمة التي تصيبها:1- جوهر النظام (نواة النظام) (kernel).
2- ملفات مكتبة الربط الديناميكي (DLL-Dynamic Link Library).
3- ملفات التطبيقات ( applications).

لنرى هذه الصورة





نلاحظ في الصورة السابقة أن برامج المستخدم تقع في الحلقة رقم (3) بمعنى أن المستخدم ليس له امتيازات في الوصول للحلقة التي سبقته إلا في حالات خاصة، كل ما نراه تقريبا من برامج الأوفيس والوسائط المتعددة والفوتوشوب والماسنجر وغيره تقع في الحلقة رقم (3).
نلاحظ كذلك أن نواة نظام التشغيل تقع في الحلقة (0) وله كل الامتيازات للوصول لأي مكان ولأي حلقة أخرى، بعكس الحلقة التطبيقات التي لا تستطيع الوصول لأي مكان إلا عن طريق لواحق نظام التشغيل.


الروت كيت الخاص بنواة النظام له إحدى اثنتين، إما أن يضيف أكواده في ملف معين في النواة، أو أن يستبدل أكواد معينه بأكواده الغير حميدة، وسواقات الأجهزة (device drivers) أحد أمثلة ملفات النواة التي يمكن أن تصاب بالروت كيت، ويعتبر هذا النوع من أخطر الأنواع لأنه إن لم يتوفر البرنامج المناسب فمن الصعب اكتشافه وإزالته.
OS loader هو أول برنامج تحكم يستلم التحكم من BIOS ويبدأ هذا البرنامج بمعالجة عمليات الاقلاع في النظام عن طريق بدء تحميل سواقات الأجهزة.. وفيروسات الروت كيت المحقونة على مستوى النواة يتم تحميلها على أنها سواقة جهاز!! ياه بالفعل أمر عجيب!!
الآن اتجه نحو المسار التالي لترى ما هو أعجب


C:\WINDOWS\system32\winlogon.exe




أنه ملف winlogon.exe أتعرف من يكون هذا الملف؟
أنه البرنامج المسؤول عن الشاشة الزرقاء لنظام إكس بي التي تقوم بالترحيب بالمستخدم بعبارة (مرحبا) أو (welcome).
حقن هذا الملف بفيرس من نوع روت كيت سيصعب من عملية إزالته..
بحيث إذا حاولت إزالة الكود الخبيث منه سيعاود البرنامج المحقون كتابة الكود أثناء الخروج من النظام بظهور الشاشة الزرقاء التي تخبر بأن النظام يقوم بحفظ الإعدادات!!(لاحظ أن هذا الملف من أواخر الملفات التي تتوقف عن العمل في النظام من جهة أخرى هو من أوائل الملفات التي تعمل فيه)
ألحين خلي إلانتي فيرس ينفعك هههه
طبعا في طرق معقدة لإزالة مثل هذه الحلقة اللامنتهية.
حذفت أشياء كثيرة من الموضوع لصعوبة استيعابها مبدئيا
وعسى أن تكون لها دروس في المستقبل
وبالتوفيق.

يعطيك العافية يا بطل

والى الامام

الله يعافيك ياغلاهم
لاتحرمني من تواجدك
تشاو