🦠Rootkits

Malware that hides its presence and provides root access. Types include user-mode, kernel-mode, bootkits, and firmware rootkits. The Sony BMG rootkit scandal in 2005 highlighted DRM issues. Detection is difficult and requires specialized tools like GMER

Article body and graph labels may still appear in Russian where English translations have not been added yet.
📖2 min read📊Level 7📅April 16, 2026

Loading map...

Руткит (rootkit) — тип вредоносного программного обеспечения, разработанного с целью скрыть своё присутствие в системе и предоставить злоумышленнику привилегированный доступ («root» в Unix-терминологии). Термин объединяет два компонента: root (суперпользователь) + kit (набор инструментов).

Уровни руткитов

  • User-mode rootkits — работают в пространстве пользователя, модифицируют системные DLL и API. Относительно просто обнаружить сравнением оригинальных файлов
  • Kernel-mode rootkits — встраиваются в ядро ОС через модули/драйверы. Получают полный контроль: могут скрывать процессы, файлы, сетевые соединения, перехватывая системные вызовы (SSDT hooking)
  • Bootkits — заражают MBR или загрузчик до запуска ОС. TDL4 (Alureon) — печально известный буткит 2010 года
  • Firmware rootkits — прошивают UEFI/BIOS; сохраняются после переустановки ОС. LoJax (2018) — первый публично обнаруженный UEFI-руткит
  • Hypervisor rootkits — запускают ОС в виртуальной машине под своим контролем

Обнаружение

Классические антивирусы плохо обнаруживают руткиты: они используют те же API, которые руткит скрывает. Специализированные инструменты: GMER (сравнивает реальное состояние ядра с тем, что видят API), RootkitRevealer (Sysinternals), загрузочные антивирусные CD. Sony BMG rootkit (2005) — DRM-программа из музыкальных CD скрывала свои процессы и открыла дыру для вирусов. Скандал привёл к массовому отзыву дисков.

Защита

Secure Boot (UEFI), TPM, Kernel Code Signing, Credential Guard в Windows — снижают риск. Принцип: загружать ОС с доверенных носителей, своевременно обновлять прошивки.