0 calificaciones0% encontró este documento útil (0 votos)
13 vistas9 páginas
Este documento describe lo que es un rootkit, que es un conjunto de software malicioso que permite acceso de privilegio a un sistema operativo de forma oculta. Explica que un rootkit esconde su presencia y la de otros elementos como puertas traseras y actividades de espionaje o envío de spam. También detalla formas comunes de detección como apagar el sistema desde un medio externo o escaneo de firmas, y métodos de prevención como vigilar la actividad en ejecución en lugar de sólo los archivos.
Este documento describe lo que es un rootkit, que es un conjunto de software malicioso que permite acceso de privilegio a un sistema operativo de forma oculta. Explica que un rootkit esconde su presencia y la de otros elementos como puertas traseras y actividades de espionaje o envío de spam. También detalla formas comunes de detección como apagar el sistema desde un medio externo o escaneo de firmas, y métodos de prevención como vigilar la actividad en ejecución en lugar de sólo los archivos.
Este documento describe lo que es un rootkit, que es un conjunto de software malicioso que permite acceso de privilegio a un sistema operativo de forma oculta. Explica que un rootkit esconde su presencia y la de otros elementos como puertas traseras y actividades de espionaje o envío de spam. También detalla formas comunes de detección como apagar el sistema desde un medio externo o escaneo de firmas, y métodos de prevención como vigilar la actividad en ejecución en lugar de sólo los archivos.
PRESENTADO POR: -JAIR FLORES CÁRDENAS -ESTEBAN LORENZO MARTÍNEZ NOMBRE DE LA PROFESOR: -MOISÉS MAYA GARDUÑO
ROOTKIT • Un rootkit se define como un conjunto de software que permite al usuario un acceso de "privilegio" a un ordenador, pero mantiene su presencia inicialmente oculta al control de los administradores al descomponer el funcionamiento normal del sistema operativo. EL TÉRMINO VIENE DE LA UNIÓN DE “ROOT” Y DE “KIT”. “ROOT” SE REFIERE AL USUARIO CON MÁXIMOS DERECHOS EN SO TIPO UNIX (PUEDE SER UNIX, AIX, LINUX, ETC), EN LOS CUÁLES TUVO SUS ORÍGENES UN ROOTKIT ES UNA HERRAMIENTA O UN CONJUNTO DE ELLAS CREADAS CON EL OBJETIVO DE "ESCONDERSE" A SÍ MISMO Y ADEMÁS, "ESCONDER" OTROS ELEMENTOS. EJEMPLO SI EN EL SISTEMA HAY UNA PUERTA TRASERA PA RA LLEVAR A CABO TAREAS DE ESPIONAJE, EL ROOTKIT OCULTARÁ LOS PUERTOS ABIERTOS QUE DELATEN LA COMUNICACIÓN; O SI HAY UN SISTEMA PARA ENVIAR SPAM, OCULTARÁ LA ACTIVIDAD DEL SISTEMA DE CORREO. Objetivos Secundarios
Ocultar los rastros de un intruso
Ocultar la presencia de procesos o aplicaciones maliciosas. Recolección de información confidencial Utilizar el sistema para ataques maliciosos Cubrir las actividades dañinas como si fueran realizadas por programas legítimos. Formas de Detección 1. Apagar el sistema que se considere infectado y revisar o salvar los datos arrancando desde un medio alternativo, como un CD-ROM de rescate o un Pen Drive 2. 2. Generalmente, los rootkits pueden ser detectados por escaneado del sistema de archivos y de la memoria, mediante lo que se conoce como análisis de firmas. Rootkits de modo de usuario Un rootkit de modo de usuario intercepte todas las llamadas a las API de Windows FindFirstFile/FindNextFile, usadas por utilidades de exploración del sistema de archivos, que incluyen Explorador y el símbolo del sistema, para enumerar el contenido de los directorios del sistema de archivos.. Rootkits de modo núcleo Los Rootkits de modo núcleo son mas eficaces, debido a que no sólo pueden interceptar la API nativa de modo núcleo, sino que también pueden manipular directamente estructuras de datos de modo núcleo. Una técnica frecuente para ocultar la presencia de un proceso de código mal intencionado es quitar el proceso de la lista de procesos activos del núcleo Como Prevenir un Rootkit Es necesario un sistema que vigile no únicamente la actividad de los archivos en el disco. En lugar de analizar los archivos byte a byte, debe vigilarse lo que hacen al ejecutarse.