السلام عليكم ورحمه الله وبركاته
من اخطر انواع القرصنه ليس الفايروس ولا الانواع المعرفه بل Rootkit هو الاخطر على الاطلاق
لماذا .؟
ليس سهل اكتشافه تستطيع ان تحقنه في قعر النواة بل قعر قعر اخر نقطه في النظام ..
ما هو الـ Rootkit؟
Rootkit هو نوع من البرمجيات الخبيثة (أو أدوات الاختراق المتقدمة) يُستخدم لإخفاء وجود ملفات، عمليات (Processes)، مفاتيح تسجيل، أو حتى اتصالات الشبكة عن نظام التشغيل ومضاد الفيروسات.
بل يتخطى كل هذي الامور
أهداف الـ Rootkit:
إخفاء التواجدإخفاء الملفات والعمليات التي تدل على وجوده
السيطرة الكاملةمنح المخترق تحكم كامل في النظام بصلاحيات root
التجسس بصمتالتقاط كل ما يقوم به المستخدم (keystrokes, screen, كاميرا...)
تحميل برمجيات أخرىمثل backdoors أو أدوات تحكم عن بعد
تعطيل الأمانإيقاف مضادات الفيروسات أو الجدران النارية
ماذا يفعل Rootkit عمليًا؟
تعديل ملفات النظامتغيير سلوك أو استبدال ملفات النظام (DLL, Driver)
التلاعب بـ Kernelتعديل الكيرنل نفسه لإخفاء عمليات أو فتح أبواب خلفية
اعتراض أوامر النظاممثل إخفاء ملفات معينة من أمر ls في Linux أو tasklist في Windows
إنشاء اتصال دائممع سيرفر خارجي بدون أن يشعر المستخدم
أنواع الـ Rootkits حسب المستوى:
User-mode Rootkitفي مستوى المستخدم (applications)سهلDLL Injection
Kernel-mode Rootkit في نواة النظام (kernel) خطير Driver Hooking
Bootkitعند إقلاع النظام متقدم جدًا MBR/EFI Rootkit
Firmware Rootkit داخل BIOS أو بطاقة الشبكة نادر وخطير Intel AMT attacks
لماذا هو خطير جدًا؟
لا تكتشفه مضادات الفيروسات بسهولة لأنه يُخفي نفسه.
يبقى فعالًا حتى بعد إعادة التشغيل.
قد لا تتم إزالته إلا بإعادة تهيئة (Format) أو إعادة كتابة BIOS.
كيف يتم زرع Rootkit (اختراق متقدم):
1. يحصل المخترق على وصول مؤقت (exploit أو phishing).
2. يرفع صلاحياته إلى Root أو Admin.
3. يزرع الـ Rootkit.
4. يصبح النظام تحت سيطرته الكاملة دون أن يكتشفه أحد.
كيف نحمي الأنظمة من الـ Rootkits؟
لا تستخدم حساب Root إلا عند الضرورة
تحقق من ملفات النظام دوريًا
استخدم أدوات كشف متخصصة مثل: rkhunter (Linux) أو GMER (Windows)
استخدم Secure Boot (UEFI)
راقب الشبكة للاتصالات الغريبة
لا تُثبت أي برنامج غير موثوق به
تم تجهيز ملف التعليمي
يمكنك تحميل الكود التعليمي لمحاكاة Rootkit (User-Mode DLL Injection) من المرفقات
محتويات الملف:
hide_process.c: كود DLL تعليمي يُظهر كيف يمكن "إخفاء" عملية مثل notepad.exe من خلال تعديل Process32NextW
.
هذا ابسط الامور فماذا لو كان في النواة او في اقلاع النظام او في BOIS
يستحق الاهتمام به يفضل لغة سي
امور تستحق ان تهتم بها افضل من RAT
من اخطر انواع القرصنه ليس الفايروس ولا الانواع المعرفه بل Rootkit هو الاخطر على الاطلاق
لماذا .؟
ليس سهل اكتشافه تستطيع ان تحقنه في قعر النواة بل قعر قعر اخر نقطه في النظام ..
ما هو الـ Rootkit؟
Rootkit هو نوع من البرمجيات الخبيثة (أو أدوات الاختراق المتقدمة) يُستخدم لإخفاء وجود ملفات، عمليات (Processes)، مفاتيح تسجيل، أو حتى اتصالات الشبكة عن نظام التشغيل ومضاد الفيروسات.
بل يتخطى كل هذي الامور
أهداف الـ Rootkit: إخفاء التواجدإخفاء الملفات والعمليات التي تدل على وجوده السيطرة الكاملةمنح المخترق تحكم كامل في النظام بصلاحيات root التجسس بصمتالتقاط كل ما يقوم به المستخدم (keystrokes, screen, كاميرا...) تحميل برمجيات أخرىمثل backdoors أو أدوات تحكم عن بعد تعطيل الأمانإيقاف مضادات الفيروسات أو الجدران النارية ماذا يفعل Rootkit عمليًا؟ تعديل ملفات النظامتغيير سلوك أو استبدال ملفات النظام (DLL, Driver) التلاعب بـ Kernelتعديل الكيرنل نفسه لإخفاء عمليات أو فتح أبواب خلفية اعتراض أوامر النظاممثل إخفاء ملفات معينة من أمر ls في Linux أو tasklist في Windows إنشاء اتصال دائممع سيرفر خارجي بدون أن يشعر المستخدم أنواع الـ Rootkits حسب المستوى: User-mode Rootkitفي مستوى المستخدم (applications)سهلDLL Injection Kernel-mode Rootkit في نواة النظام (kernel) خطير Driver Hooking Bootkitعند إقلاع النظام متقدم جدًا MBR/EFI Rootkit Firmware Rootkit داخل BIOS أو بطاقة الشبكة نادر وخطير Intel AMT attacks لماذا هو خطير جدًا؟لا تكتشفه مضادات الفيروسات بسهولة لأنه يُخفي نفسه.
يبقى فعالًا حتى بعد إعادة التشغيل.
قد لا تتم إزالته إلا بإعادة تهيئة (Format) أو إعادة كتابة BIOS.
كيف يتم زرع Rootkit (اختراق متقدم):1. يحصل المخترق على وصول مؤقت (exploit أو phishing).
2. يرفع صلاحياته إلى Root أو Admin.
3. يزرع الـ Rootkit.
4. يصبح النظام تحت سيطرته الكاملة دون أن يكتشفه أحد.
كيف نحمي الأنظمة من الـ Rootkits؟ لا تستخدم حساب Root إلا عند الضرورة تحقق من ملفات النظام دوريًا استخدم أدوات كشف متخصصة مثل: rkhunter (Linux) أو GMER (Windows) استخدم Secure Boot (UEFI) راقب الشبكة للاتصالات الغريبة لا تُثبت أي برنامج غير موثوق بهتم تجهيز ملف التعليمي
يمكنك تحميل الكود التعليمي لمحاكاة Rootkit (User-Mode DLL Injection) من المرفقات محتويات الملف:hide_process.c: كود DLL تعليمي يُظهر كيف يمكن "إخفاء" عملية مثل notepad.exe من خلال تعديل Process32NextW
.
هذا ابسط الامور فماذا لو كان في النواة او في اقلاع النظام او في BOIS
يستحق الاهتمام به يفضل لغة سي
امور تستحق ان تهتم بها افضل من RAT
