Un RootKit es un programa o conjunto de programas que un intruso usa para esconder su presencia en un sistema y le permite acceder en el futuro para manipular este sistema.
Para completar su objetivo, un rootkit altera el flujo de ejecución del sistema operativo o manipula un conjuntos de datos del sistema para evitar la auditoria.
Un rootkit no es un exploit, es lo que el atacante usa después del exploit inicial. En algunos aspectos, un rootkit es más interesante que un exploit, incluso que uno 0-day. Algunos de nosotros somos reticentes a creer en el hecho de que más vulnerabilidades continuaran siendo descubiertas. La Seguridad Informática es sobre todo manejo del riesgo. Un exploit 0-day es una bala, pero un rootkit puede decir mucho del atacante, como cuál era su motivación para disparar.
Windows es diseñado con seguridad y estabilidad en mente. El n�cleo (kernel) debe ser protegido de las aplicaciones de usuario, pero estas aplicaciones requieren cierta funcionalidad desde el kernel. Para proveer esto Windows implementa dos modos de ejecución: modo usuario y modo kernel. Windows hoy solo soporta esos dos modos, aunque las CPU Intel y AMD soportan cuatro modos de privilegios o anillos en sus chips para proteger el codigo y datos del sistema de sobreescrituras maliciosas o inadvertidas por parte de código de menor privilegio. | 
No hay comentarios:
Publicar un comentario