للافاده - ماهو الروتكيت - انواعه واهدافه .

السلام عليكم ورحمه الله وبركاته

في هذا الموضوع البسيط سوف نتعرف علي مايعرف باالروتكيتس Rootkits او مايعرف باالجذور الخفية هذا المصطلح لايمكن شرحه

في موضوع واحد لما فيه من تعقيدات وامور كثيرة يجب اخذها بعين الاعتبار وايضا لتشعب الموضوع ودخوله في العديد من الجوانب ولكننا

سنحاول تبسيط الامور حتي يستوعب قاري الموضوع الفكرة ويصبح هذا المصطلح مفهوما لدي الجميع ... لنبدأ

ويطلق عليها اسم الحلقة 0 في هذه المنطقة يمكننا الوصول الي كل الذاكرة وقطع الحاسب لذلك عندما يحصل اي خطأ في هذه المنطقة

اولا لتسهيل الموضوع سوف نشرح الي ماذا تنقسم طبقات النظام 1- kernel-mode تظهر لنا شاشة الموت الزرقاء BSOD وفي هذه المنطقة توجد نواة النظام الخاص بنا

الحلقة 0 هنا كل عملية لها عنوان خاص بها في الذاكرة حيث اذا حصل خطا في هذا التطبيق يتوقف عن العمل ولايسبب اي انهيار للنظام

2- User-mode ويطلق عليها اسم الحلقة 3 وهي المنطقة الخاصة باالمستخدم وهي المنطقة التي تعمل بها اغلب البرامج المثبتة في الجهاز وهي بعكس

الروتكيت عبارة عن نوع من انواع الملفات الخبيثة التي لها القدرة علي اخفاء مجموعة من الملفات الاخري سواء (عمليات,ملفات,

---------------------------------------- الان ماهو الروتكيت؟ مفاتيح ريجستري,وغيرها) حتي لايتمكن المستخدم من اكتشافها وتتمكن من الحصول علي صلاحيات عالية في النظام من اجل اكمال

هنالك العديد من انواع الروتكيتس ولكننا سنذكر منها الاكثر انتشارا

المهمة المصممة من اجلها مثل اخفاء عملية ما من التاسك مانجر فتصبح تعمل دون شعور المستخدم بذلك ماهي انواع الروتكيتس؟ 1- Kernel-mode rootkits

الدرايفرات او التعريفات تقلع من النظام ((من خلال النظام))ومن هنا اصبح الروتكيت متصلا بشكل مباشر مع نواة النظام ويتحكم من خلاله

هذا النوع من الروتكيتس يستخدم الحلقة 0 كيف يكون ذلك؟... عن طريق (درايفر) يتم تنصيب درايفر في جهاز المستخدم من المعروف ان واذا تمكن الروتكيت من الوصول الي الحلقة 0 اي جذر النظام فيكون قد حقق هدفا مهما جدا بغض النظر عن كونه غير مكتشف ولكن يكون

مثلا لدينا اصابة في الجهاز فعند محاولة قتل العملية الخاصة بهذه الاصابة لن نتمكن من ذلك بسبب وجود روتكيت يحمي هذه العملية من الانهاء

قد حصل علي صلاحيات الجذر اي Root acsses وهي اعلي صلاحيات موجودة في النظام ويمكن من خلالها فعل اي شي علي النظام وايضا من خلال هذا النوع من الروتكيتس يتم حماية بعض الملفات من الانهاء والقتل التي تشغل في الحلقة 3 والخاصة باالمستخدم

عملية ما مثلا بااستدعاء دالة في WinAPI ولتكن اي دالة مثلا فبعد عملية الترقيع او SSTD Hooking التي قام بها الروتكيت

عن طريق حمايتها من نواة النظام مثلها مثل اي عملية مهمة لعمل الويندوز نلاحظ اننا لانستطيع ايقافها لماذا؟ لانه يتم التحكم بها من خلال نواة النظام .! اذا كانت نواة النظام من نوع x32 هنا يستخدم الروتكيت مايعرف SSDT ويقوم بعمل كارنل باتشنج (عملية ترقيع للنواة) فعندما تقوم

تظهر مرارا وتكرار لماذا؟ لانه اثناء عملية التنظيف تم ازالة الدرايفر الخاص باالروتكيت وبقي العنوان في الـ SSTD متغير وليس العنوان

فهنا سيتم تنفيذ الكود الذي وضعه الروتكيت وليس الكود الاصلي الموجود في تلك الدالة ويتم هذا من خلال تغيير العنوان في الـ SSTD ------------------------------------- واذا اردنا تنظيف نواة النظام من الروتكيت ولم نقم بتنظيف عملية الهوكينج او الترقيع التي حصلت للـSSTD فهنا الشاشة الزرقاء سوف

التي يتم اضافتها الي النواة يجب ان تكون موقعة رقيما((لها توقيع رقمي)) وهنا يستلزم نوع اخر من الاصابات للسيطرة علي نواة النظام

الاصلي له اي بقي (الكود الذي تم اضافته بواسطة الروتكيت) فعند محاولة استدعاء دالة ما وبسبب عملية الترقيع فلن تجد الدالة الدرايفر الصحيح وهنا ستحصل الشاشة الزرقاء --------------------------------------------------- اما اذا كانت نواة النظام من نوع x64 فهنا الامر مختلف ولن تنجح طريقة الـ SSTD Hook لانه في هذا النوع من النظام الدرايفرات

هذا النوع من الروتكيتس لايعمل في نواة النظام((الحلقة 0)) وانما يعمل في الحلقة 3 الخاصة باالمستخدم احد اشهر تقنيات هذا النوع من الروتكيت

وتعرف بـ BootKit والتي استطاعت في الماضي تجاوز هذه الخاصية من خلال التلاعب بـ الـ MBR ,,Master Boot Record ولكن مايكروسوفت قامت بترقيع هذه الثغرة والله اعلم ماهي الطرق التي ظهرت بعدها وهنالك العديد من الطرق المعقدة لمنع اي عملية من العمل او تعطيل عمليات الروتكيت الخاصة لن يتسع الموضوع لشرحها ولكننا سنذكرها اثناء نقاشنا في الموضوع ------------------------------------------------------ 2-User-Mode Rootkit

وبهذا التقنيات التي في الروتكيت الخاصة باالحلقة 3 لديها قوة كبيرة جدا اذا استخدمت باالشكل الصحيح فمن خلالها سيتم منع

هو عمليات حقن ملفات DLL وايضا الـ IAT Hooking وتسمي (Import addres Table) ماوظيفة الـIAT ؟ وظيفته انه يحتوي عنواين كل الدوال التي تحتاجها البرامج للعمل والكتابة علي هذا العنوان تعني انه عندما نريد تشغيل البرنامج سيتم تشغيل الروتكيت الخبيث بدلا من البرنامج الخاص بنا !! بمعني اصح اذا اردنا تشغيل برنامج ما فاانه سيحتاج الي هذه الدوال للعمل وبما ان الروتكيت قد قام باالكتابة علي هذا العنوان فاانه سيتم تنفيذ كود الروتكيت بدلا من البرنامج !!

في النهاية كانت هذه نظرة بسيطة حول هذا النوع من الروتكيتس اتمني ان تعم الفائدة علي الجميع

انشاء وحذف الملفات والمجلدات وقتل وتعطيل العمليات والتعديل علي الريجستري وغيرها الكثير الكثير ...