التعريف بصاحب المدونة!

مروان الحلو :

مروان الحلو من مواليد 1992 خبير في مجال هندسة البرمجيات وتطوير هيكلة البيانات والخوارزميات, مما في ذلك الخبرة في التطوير والابتكار المعرفي, واكتساب الثقافة العامة

ابحث داخل المدونة

شارك معنا على المدونة

يمكنك الاشتراك والمشاركة على مدونتنا عن طريق بريدكم الالكتروني أو عن طريق صفحاتنا على مواقع التواصل الاجتماعية

الجمعة، 6 نوفمبر، 2015

معلومات مهمة عن الروتكيتس Rootkits او ما يعرف بالجذور الخفية ؟؟؟

معلومات مهمة عن الروتكيتس Rootkits او ما يعرف بالجذور الخفية ؟؟؟

الروتكيتس Rootkits او ما يعرف بالجذور الخفية ؟؟؟ فلنتعرف اكثر 

*** الروتكيتس Rootkits :






معلومات مهمة عن الروتكيتس Rootkits او ما يعرف بالجذور الخفية ؟؟؟ في هذا الموضوع البسيط سوف نتعرف علي مايعرف باالروتكيتس Rootkits او مايعرف باالجذور الخفية هذا المصطلح لايمكن شرحه في موضوع واحد لما فيه من تعقيدات وامور كثيرة يجب اخذها بعين الاعتبار وايضا لتشعب الموضوع ودخوله في العديد من الجوانب ولكننا سنحاول تبسيط الامور حتي يستوعب متابعي وزوار مدونة رواد المعلوميات موضوع الفكرة ويصبح هذا المصطلح مفهوما لدي الجميع ... لنبدأ اولا لتسهيل الموضوع سوف نشرح الي ماذا تنقسم
1-طبقات النظام/kernel-mode :ويطلق عليها اسم الحلقة 0 ,في هذه المنطقة يمكننا الوصول الي كل الذاكرة وقطع الحاسب لذلك عندما يحصل اي خطأ في هذه المنطقة تظهر لنا شاشة الموت الزرقاء BSOD وفي هذه المنطقة توجد نواة النظام الخاص بنا
2-نواة النظام/User-mode : ويطلق عليها اسم الحلقة 3 وهي المنطقة الخاصة باالمستخدم وهي المنطقة التي تعمل بها اغلب البرامج المثبتة في الجهاز وهي بعكس الحلقة 0 هنا كل عملية لها عنوان خاص بها في الذاكرة حيث اذا حصل خطا في هذا التطبيق يتوقف عن العمل ولايسبب اي انهيار للنظام----------------------------------------الان ماهو الروتكيت؟الروتكيت عبارة عن نوع من انواع الملفات الخبيثة التي لها القدرة علي اخفاء مجموعة من الملفات الاخري سواء (عمليات,ملفات,مفاتيح ريجستري,وغيرها) حتي لايتمكن المستخدم من اكتشافها وتتمكن من الحصول علي صلاحيات عالية في النظام من اجل اكمالالمهمة المصممة من اجلها مثل اخفاء عملية ما من التاسك مانجر فتصبح تعمل دون شعور المستخدم بذلكماهي انواع الروتكيتس؟هنالك العديد من انواع الروتكيتس ولكننا سنذكر منها الاكثر انتشارا

1- Kernel-mode rootkits : هذا النوع من الروتكيتس يستخدم الحلقة 0 كيف يكون ذلك؟... عن طريق (درايفر) يتم تنصيب درايفر في جهاز المستخدم من المعروف ان الدرايفرات او التعريفات تقلع من النظام ((من خلال اوامر النظام)) ومن هنا اصبح الروتكيت متصلا بشكل مباشر مع نواة النظام ويتحكم من خلاله , واذا تمكن الروتكيت من الوصول الي الحلقة 0 اي جذر النظام فيكون قد حقق هدفا مهما جدا بغض النظر عن كونه غير مكتشف ولكن يكونقد حصل علي صلاحيات الجذر اي Root acsses وهي اعلي صلاحيات موجودة في النظام ويمكن من خلالها فعل اي شي علي النظاموايضا من خلال هذا النوع من الروتكيتس يتم حماية بعض الملفات من الانهاء والقتل التي تشغل في الحلقة 3 والخاصة باالمستخدممثلا لدينا اصابة في الجهاز فعند محاولة قتل العملية الخاصة بهذه الاصابة لن نتمكن من ذلك بسبب وجود روتكيت يحمي هذه العملية من الانهاءعن طريق حمايتها من نواة النظام مثلها مثل اي عملية مهمة لعمل الويندوز نلاحظ اننا لانستطيع ايقافها لماذا؟ لانه يتم التحكم بها من خلالنواة النظام .!اذا كانت نواة النظام من نوع x32 هنا يستخدم الروتكيت مايعرف SSDT ويقوم بعمل كارنل باتشنج (عملية ترقيع للنواة) فعندما تقومعملية ما مثلا بااستدعاء دالة في WinAPI ولتكن اي دالة مثلا فبعد عملية الترقيع او SSTD Hooking التي قام بها الروتكيتفهنا سيتم تنفيذ الكود الذي وضعه الروتكيت وليس الكود الاصلي الموجود في تلك الدالة ويتم هذا من خلال تغيير العنوان في الـ SSTD-------------------------------------واذا اردنا تنظيف نواة النظام من الروتكيت ولم نقم بتنظيف عملية الهوكينج او الترقيع التي حصلت للـSSTD فهنا الشاشة الزرقاء سوفتظهر مرارا وتكرار لماذا؟ لانه اثناء عملية التنظيف تم ازالة الدرايفر الخاص باالروتكيت وبقي العنوان في الـ SSTD متغير وليس العنوانالاصلي له اي بقي (الكود الذي تم اضافته بواسطة الروتكيت) فعند محاولة استدعاء دالة ما وبسبب عملية الترقيع فلن تجد الدالة الدرايفرالصحيح وهنا ستحصل الشاشة الزرقاء---------------------------------------------------اما اذا كانت نواة النظام من نوع x64 فهنا الامر مختلف ولن تنجح طريقة الـ SSTD Hook لانه في هذا النوع من النظام الدرايفراتالتي يتم اضافتها الي النواة يجب ان تكون موقعة رقيما((لها توقيع رقمي)) وهنا يستلزم نوع اخر من الاصابات للسيطرة علي نواة النظاموتعرف بـ BootKit والتي استطاعت في الماضي تجاوز هذه الخاصية من خلال التلاعب بـ الـ MBR ,,Master Boot Recordولكن مايكروسوفت قامت بترقيع هذه الثغرة والله اعلم ماهي الطرق التي ظهرت بعدهاوهنالك العديد من الطرق المعقدة لمنع اي عملية من العمل او تعطيل عمليات الروتكيت الخاصة لن يتسع الموضوع لشرحها ولكننا سنذكرهااثناء نقاشنا في الموضوع-----------------------------------------------------------------
 الروتكيتس Rootkits

 2-User-Mode Rootkit : هذا النوع من الروتكيتس لايعمل في نواة النظام((الحلقة 0)) وانما يعمل في الحلقة 3 الخاصة باالمستخدم احد اشهر تقنيات هذا النوع من الروتكيتهو عمليات حقن ملفات DLL وايضا الـ IAT Hooking وتسمي (Import addres Table)

معلومات مهمة عن الروتكيتس Rootkits

ماوظيفة الـIAT ؟ وظيفته انه يحتوي عنواين كل الدوال التي تحتاجها البرامج للعمل والكتابة علي هذا العنوان تعني انه عندما نريد تشغيل البرنامج سيتمتشغيل الروتكيت الخبيث بدلا من البرنامج الخاص بنا !! بمعني اصح اذا اردنا تشغيل برنامج ما فاانه سيحتاج الي هذه الدوال للعمل وبماان الروتكيت قد قام باالكتابة علي هذا العنوان فاانه سيتم تنفيذ كود الروتكيت بدلا من البرنامج !!وبهذا التقنيات التي في الروتكيت الخاصة باالحلقة 3 لديها قوة كبيرة جدا اذا استخدمت باالشكل الصحيح فمن خلالها سيتم منع انشاء وحذف الملفات والمجلدات وقتل وتعطيل العمليات والتعديل علي الريجستري وغيرها الكثير الكثير ...


في النهاية كانت هذه نظرة بسيطة حول هذا النوع من الروتكيتس اتمني ان تعم الفائدة علي الجميع.

ردود الأفعال:

التعريف بصاحب المدونة :

من مواليد 1992 من المغرب مؤسس مدونة رواد المعلوميات , مبتكر ومطور معلوماتي ,خبير في عدة مجالات , محترف في برمجة صفحات الويب , هاكرز سابق في عدة منظمات , احب التعليم والتعلم والبحث عن المزيد

0 التعليقات :

إرسال تعليق