Che cos'è un rilevatore di rootkit?
Un rilevatore di rootkit è un tipo specializzato di software utilizzato per rilevare la presenza di rootkit nascosti su un computer. Non tutti i rootkit sono malware, ma la loro capacità di bypassare le normali impostazioni di sicurezza del sistema operativo e di rimanere nascosta agli utenti di computer rende il rootkit una scelta molto popolare tra i creatori di malware. Il rilevatore di rootkit va oltre l'ambito dei tipici programmi antivirus e antimalware per trovare questi programmi nascosti che hanno ottenuto l'accesso a livello di root al computer accedendo alla radice del sistema operativo del computer per cercare programmi nascosti che potrebbero causare guaio.
I rootkit presentano un grave rischio per la sicurezza degli utenti di computer poiché questi programmi sono in grado di nascondere la loro presenza e sovvertire il sistema operativo senza la conoscenza dell'amministratore del computer o di altri utenti. Con la capacità del rootkit di ottenere l'accesso a livello di root al sistema, i creatori di malware possono utilizzare i rootkit per rubare password e altre informazioni sensibili in remoto, distruggere i file del sistema operativo essenziale o creare caos generale sul computer della vittima. Con la sua capacità di rimanere nascosto, il rootkit viene spesso posizionato sul computer come un payload incluso in un altro programma o file scaricato dall'utente del computer. In altri casi, il rootkit potrebbe essere posizionato sul computer da un individuo che ha intenzioni dannose e che ha precedentemente ottenuto l'accesso alla radice del sistema operativo del computer, sia attraverso il contatto fisico che tramite l'accesso remoto utilizzando una vulnerabilità del sistema.
La varietà di mezzi con cui i rootkit possono essere installati sul computer di una vittima sono i motivi per cui un rilevatore di rootkit può assumere molte forme. Un rilevatore di rootkit può comportare l'uso di algoritmi complessi per la ricerca di modifiche ai file o alle firme del sistema operativo, modelli di comportamento comuni tra malware e spyware o la scansione dei file di dump della memoria per trovare prove dell'installazione di malware. In alcuni casi, il rilevatore di rootkit funziona come un sistema operativo separato per assicurarsi che il rilevatore di rootkit non sia compromesso.
Quando si utilizza un rilevatore di rootkit insieme agli strumenti di rimozione di rootkit, è importante comprendere che, sebbene la maggior parte dei rootkit sia costituita da malware, alcuni rootkit servono effettivamente a uno scopo utile. I rootkit possono essere utilizzati per rilevare attacchi da programmi dannosi, aggiungere maggiore potenza al software di emulazione, eseguire programmi che non necessitano di un'interfaccia utente o addirittura proteggere i laptop dal furto. Quando i rootkit vengono rilevati da un rilevatore di rootkit, è importante che l'origine del rootkit e il suo utilizzo vengano verificati prima di eliminarlo dal sistema per assicurarsi che nel processo non vengano arrecati danni maggiori al sistema.