Vad är en Rootkit-detektor?
En rootkit-detektor är en specialiserad typ av programvara som används för att hitta förekomsten av dolda rootkits på en dator. Inte alla rootkits är skadlig programvara, men deras förmåga att kringgå normala säkerhetsinställningar för operativsystemet och förbli dold för datoranvändarna gör rootkit till ett mycket populärt val bland skaparna av skadlig programvara. Rootkit-detektorn går utöver omfattningen av typiska antivirus- och antivirusprogram för att hitta dessa dolda program som har fått rotnivååtkomst till datorn genom att komma åt roten till datorns operativsystem för att söka dolda program som kan orsaka problem.
Rootkits utgör en allvarlig säkerhetsrisk för datoranvändare eftersom dessa program kan dölja sin närvaro och subvertera operativsystemet utan datoradministratörens eller andra användares kunskap. Med rootkits förmåga att få rootnivååtkomst till systemet kan malware-skapare använda rootkits för att stjäla lösenord och annan känslig information på distans, för att förstöra viktiga operativsystemfiler eller skapa allmän förödelse på offrets dator. Med dess förmåga att förbli dold placeras rootkit ofta på datorn som en nyttolast som ingår i ett annat program eller fil som datoranvändaren laddade ner. I andra fall kan rootkit placeras på datorn av en person som har skadlig avsikt och som tidigare har fått tillgång till roten till datorns operativsystem, antingen genom fysisk kontakt eller via fjärråtkomst med hjälp av en systemsårbarhet.
De olika sätten med vilka rootkits kan installeras på offrets dator är därför en rootkit-detektor kan ta många former. En rootkit-detektor kan involvera användning av komplexa algoritmer för att söka efter förändringar i operativsystemfiler eller signaturer, beteendemönster som är vanliga bland skadlig programvara och spionprogram eller skanning av minnesdumpfilerna för att hitta bevis på installation av skadlig programvara. I vissa fall fungerar rootkit-detektorn som ett separat operativsystem för att se till att rootkit-detektorn inte äventyras.
När du använder en rootkit-detektor i samband med rootkit-borttagningsverktyg är det viktigt för en att förstå att även om majoriteten av rootkits är skadlig så fungerar vissa rootkits faktiskt ett användbart syfte. Rootkits kan användas för att upptäcka attacker från skadliga program, lägga mer kraft till emuleringsprogramvara, köra program som inte behöver ett användargränssnitt eller till och med skydda bärbara datorer från stöld. När rootkits hittas av en rootkit-detektor, är det viktigt att källan till rootkit och dess användning verifieras innan den tas bort från systemet för att se till att större skada inte görs i systemet under processen.