Tecnología

Inicio

Los tipos de kits de raíz

March 11

Un rootkit es un software sospechoso no porque ataca o que resulte en daños a un ordenador, sino porque se incrusta profundamente en el sistema operativo del ordenador, por lo que es difícil de detectar. Se esconde en las carpetas del sistema y cambia sutilmente la configuración del registro para hacer que aparece como un archivo legítimo. No hace mucho, excepto ocultar y esperar a que un comando externo de un usuario o un programa para activarlo. Actualmente existen cuatro tipos conocidos de rootkits.

Los rootkits persistentes

rootkits persistentes activan durante el reinicio. Normalmente, un rootkit persistente oculta en el registro de inicio, que Windows carga cada vez que se reinicie el equipo. Es difícil de detectar debido a que imita las acciones de archivos de computadora válidos y se ejecuta sin intervención del usuario. Los virus y otros programas maliciosos pueden aprovecharse de un rootkit persistente, ya que, además de ser difícil de encontrar, que no desaparece cuando un equipo se apaga.

Los rootkits basados ​​en memoria

A diferencia de los rootkits persistentes, un rootkit basado en memoria se desactiva cuando un equipo se reinicia. rootkits basados ​​en memoria, se incrustan en la memoria RAM (memoria de acceso aleatorio) del ordenador. La memoria RAM es el espacio temporal que programas como Microsoft Word, Excel, Outlook y navegadores web ocupan cuando esos programas están abiertos. Cuando se abre un programa, el ordenador asigna un espacio en la memoria RAM. Al cerrar el programa, el equipo libera ese espacio de direcciones para otros programas para su uso. El rootkit basado en memoria hace lo mismo. Ocupa un espacio de direcciones en la RAM. Cuando un equipo se apaga, todos los programas están cerrados, lo que vacía los espacios de memoria, incluyendo el rootkit.

Los rootkits de modo usuario

Un rootkit en modo de usuario se infiltra en el sistema operativo aún más profundo. Se aloja dentro de las carpetas del sistema ocultas y el registro y lleva a cabo las tareas realizadas por los archivos del sistema válidos. Una forma evade la detección es que intercepta el software que de otra manera podría detectar. El rootkit en modo de usuario puede incrustarse en un programa que escanea en busca de virus. Cuando se ejecuta el programa, las intercepciones de rootkit que la acción como si fuera el que hace el escaneo. En lugar del programa de retorno de una detección, no devuelve nada.

Los rootkits en modo kernel

Un rootkit en modo kernel es aún más peligroso que un rootkit en modo de usuario. rootkits en modo usuario de intercepción de software válida para devolver un resultado diferente, pero los procesos que se pueden detectar todavía funcionan. Un rootkit en modo kernel se oculta mediante la eliminación de los procesos asociados a ella. Esto hace más difícil de detectar, porque es como si el rootkit en modo kernel no existe. No se mostrará en el Administrador de tareas o cualquier otro software que muestra todos los procesos que se ejecutan en el ordenador. La detección de rootkits en modo kernel implica una técnica sofisticada de encontrar discrepancias entre el registro del sistema.