روتكيت
الروتكيت عبارة عن مجموعة من برامج الحاسوب الخبيثة المصممة لتمكين الوصول إلى جهاز حاسوب أو جزء من برامجه، وهو وصول غير مسموح به عادةً (على سبيل المثال، من قِبل مستخدم غير مصرح له). غالبًا ما تخفي الروتكيت وجودها أو وجود برامج أخرى. [ 1] مصطلح الروتكيت مُركّب من " root " ( الاسم التقليدي لحساب المستخدم ذي الصلاحيات في أنظمة التشغيل الشبيهة بنظام يونكس ) وكلمة "kit" (التي تشير إلى مكونات البرامج التي تُنفّذ الأداة). [ 2 ] يحمل مصطلح "الروتكيت" دلالات سلبية لارتباطه بالبرامج الخبيثة . [ 1 ]
يمكن أتمتة تثبيت برامج التجسس الخبيثة، أو يمكن للمهاجم تثبيتها بعد حصوله على صلاحيات الجذر أو صلاحيات المسؤول. [ 3 ] وينتج الحصول على هذه الصلاحيات عن هجوم مباشر على النظام، أي استغلال ثغرة أمنية (مثل رفع مستوى الصلاحيات ) أو كلمة مرور (تم الحصول عليها عن طريق القرصنة أو أساليب الهندسة الاجتماعية مثل التصيد الاحتيالي ). وبمجرد التثبيت، يصبح من الممكن إخفاء الاختراق والحفاظ على صلاحيات الوصول المميزة. وتعني السيطرة الكاملة على النظام إمكانية تعديل البرامج الموجودة، بما في ذلك البرامج التي قد تُستخدم للكشف عن الاختراق أو التحايل عليه.
يُعدّ اكتشاف برامج التجسس الخبيثة (Rootkits) أمرًا صعبًا، لأنها قد تتمكن من اختراق البرامج المصممة لاكتشافها. تشمل طرق الكشف استخدام نظام تشغيل بديل وموثوق ، والأساليب القائمة على تحليل السلوك، وفحص التوقيعات، وفحص الاختلافات، وتحليل تفريغ الذاكرة . قد تكون إزالة هذه البرامج معقدة، خاصةً إذا كانت موجودة في نواة النظام ؛ وقد يكون إعادة تثبيت نظام التشغيل هو الحل الوحيد المتاح. أما في حالة برامج التجسس الخبيثة التي تُثبّت البرامج الثابتة ، فقد تتطلب الإزالة استبدال الأجهزة أو استخدام معدات متخصصة.
تاريخ
يشير مصطلح "روتكيت" (rootkit ) أو "ركيت" (rkit) أو "روت كيت" (root kit) في الأصل إلى مجموعة أدوات إدارية مُعدّلة بشكل خبيث لنظام تشغيل شبيه بنظام يونكس، تمنح صلاحيات " الجذر " (root). [ 4 ] إذا تمكن متسلل من استبدال الأدوات الإدارية القياسية في النظام ببرنامج روتكيت، فسيحصل على صلاحيات الجذر مع إخفاء هذه الأنشطة عن مدير النظام الشرعي . كان من السهل اكتشاف برامج الروتكيت من الجيل الأول باستخدام أدوات مثل Tripwire التي لم يتم اختراقها للوصول إلى نفس المعلومات. [ 5 ] [ 6 ] كتب لين ديفيس وستيفن دايك أول برنامج روتكيت معروف في عام 1990 لنظام التشغيل SunOS UNIX من شركة صن مايكروسيستمز . [ 7 ] في المحاضرة التي ألقاها عند حصوله على جائزة تورينج عام 1983، وضع كين طومسون من مختبرات بيل ، أحد مبتكري يونكس ، نظرية حول اختراق مُصرّف لغة C في توزيعة يونكس، وناقش كيفية استغلال هذه الثغرة. سيكشف المُترجم المُعدَّل محاولات ترجمة أمر يونكس، وسيُنتج شيفرة مُعدَّلة تقبل ليس فقط كلمة مرور المستخدم الصحيحة، بل كلمة مرور إضافية " خلفية " معروفة للمهاجم. إضافةً إلى ذلك، سيكشف المُترجم محاولات ترجمة نسخة جديدة منه، وسيُدرج نفس الثغرات الأمنية في النسخة الجديدة. لن يكشف فحص الشيفرة المصدرية للأمر أو المُترجم المُحدَّث عن أي شيفرة خبيثة. [ 8 ] تُعادل هذه الثغرة الأمنية برنامج روتكيت.loginlogin
استخدم أول فيروس حاسوبي موثق يستهدف الحاسوب الشخصي ، والذي اكتُشف عام ١٩٨٦، تقنيات التمويه الحلزوني لإخفاء نفسه: إذ اعترض فيروس "برين" محاولات قراءة قطاع الإقلاع ، وأعاد توجيهها إلى مكان آخر على القرص، حيث حُفظت نسخة من قطاع الإقلاع الأصلي. [ ١ ] ومع مرور الوقت، أصبحت أساليب التمويه لفيروسات نظام التشغيل DOS أكثر تطورًا. وشملت التقنيات المتقدمة اعتراض استدعاءات مقاطعة BIOS منخفضة المستوى (INT 13H) لإخفاء التعديلات غير المصرح بها على الملفات. [ ١ ]
ظهر أول برنامج خبيث من نوع "روتكيت" لنظام التشغيل ويندوز إن تي عام 1999، وهو حصان طروادة يُدعى NTRootkit من ابتكار جريج هوغلوند . [ 9 ] تبعه برنامج HackerDefender عام 2003. [ 1 ] أما أول برنامج خبيث من نوع "روتكيت" يستهدف نظام التشغيل ماك أو إس إكس ، وهو WeaponX/Weapox، فقد ظهر عام 2004. [ 10 ] بينما كان فيروس ستوكسنت أول فيروس يستهدف وحدات التحكم المنطقية القابلة للبرمجة (PLC). [ 11 ]
حادثة برنامج Lenovo BIOS Rootkit (محرك خدمة Lenovo) (2015)
في منتصف عام ٢٠١٥، اكتُشف أن شركة لينوفو كانت تُزوّد بعض أجهزة الكمبيوتر الشخصية للمستخدمين ببرامج ثابتة تعمل كبرنامج خبيث مُدمج. هذه الميزة، المسماة محرك خدمة لينوفو (LSE)، كانت مُدمجة في نظام الإدخال والإخراج الأساسي (BIOS) وتُفعّل عند بدء التشغيل، حتى قبل بدء تشغيل نظام ويندوز. صُمم محرك خدمة لينوفو لضمان بقاء أداة تحديث النظام والبرامج المُثبتة مُسبقًا ذات الصلة مُثبتة، وذلك عن طريق إعادة تثبيتها تلقائيًا في حال إزالتها. ولأنها كانت موجودة في البرامج الثابتة، كان من الصعب على المستخدمين اكتشافها أو إزالتها؛ فحتى تثبيت ويندوز جديد لن يُزيل محرك خدمة لينوفو، إذ سيُعاد تثبيته عند إعادة تشغيل الجهاز.
اكتشف الباحثون لاحقًا أن ثغرة LSE تسببت في مشكلة أمنية خطيرة، وهي ثغرة تسمح بهجوم تصعيد الامتيازات (عبر تجاوز سعة المخزن المؤقت ) للوصول إلى صلاحيات المسؤول. واستجابةً لذلك، أصدرت لينوفو تحديثات لنظام BIOS وأداة إزالة في عام 2015 لتعطيل ميزة LSE وحذفها. كما حدّثت مايكروسوفت إرشادات أمان ويندوز الخاصة بها لمنع هذا السلوك في البرامج الثابتة، مما أجبر لينوفو فعليًا على التوقف عن استخدام LSE في الأنظمة الجديدة. وتمت إزالة وظيفة LSE من الطرازات اللاحقة، وحثت لينوفو العملاء على تثبيت البرامج الثابتة المحدثة للتخلص من المخاطر. [ 12 ] [ 13 ]
ستوكسنت (2010)
كان ستوكسنت، الذي تم اكتشافه عام 2010، دودة إلكترونية متطورة للغاية، يُعتقد على نطاق واسع أنها طُوّرت في عملية استخباراتية أمريكية إسرائيلية مشتركة استهدفت المنشآت النووية الإيرانية. [ 14 ] [ 15 ] [ 16 ] [ 17 ] وقد احتوى بشكل ملحوظ على برنامج تجسس خفي يعمل في وضع نواة نظام ويندوز ، والذي أخفى ملفات وعمليات البرمجية الخبيثة، مما مكّن الدودة من تخريب أنظمة التحكم الصناعية بصمت. ويُشار إلى ستوكسنت غالبًا باعتباره أول سلاح إلكتروني معروف؛ فقد دمّر جزءًا كبيرًا من أجهزة طرد اليورانيوم الإيرانية ، مع صعوبة اكتشافه. [ 18 ] [ 19 ] [ 20 ]
فضيحة برامج الحماية من النسخ الخاصة بشركة سوني بي إم جي (2005)

في عام ٢٠٠٥، أصدرت شركة سوني بي إم جي أقراصًا مدمجة مزودة ببرنامج حماية النسخ وإدارة الحقوق الرقمية المسمى " الحماية الموسعة للنسخ" ، والذي طورته شركة البرمجيات "فيرست فور إنترنت". تضمن البرنامج مشغل موسيقى، ولكنه قام بتثبيت برنامج خبيث (روتكيت) بشكل خفي، مما حدّ من قدرة المستخدم على الوصول إلى القرص المدمج. [ ٢١ ] اكتشف مهندس البرمجيات مارك روسينوفيتش ، مبتكر أداة كشف برامج الروتكيت "روتكيت ريفيلر" ، هذا البرنامج الخبيث على أحد أجهزة الكمبيوتر الخاصة به. [ ١ ] أدت الفضيحة التي تلت ذلك إلى زيادة وعي الجمهور ببرامج الروتكيت. [ ٢٢ ] ولإخفاء نفسه، أخفى برنامج الروتكيت أي ملف يبدأ بـ "$sys$" عن المستخدم. بعد وقت قصير من تقرير روسينوفيتش، ظهرت برامج ضارة استغلت برنامج الروتكيت الموجود على الأنظمة المتأثرة. [ ١ ] وصف أحد محللي بي بي سي الأمر بأنه " كارثة علاقات عامة ". [ ٢٣ ] أصدرت سوني بي إم جي تحديثات لإزالة برنامج الروتكيت، مما عرّض المستخدمين لثغرة أمنية أكثر خطورة. [ ٢٤ ] وفي النهاية، سحبت الشركة الأقراص المدمجة من الأسواق. في الولايات المتحدة، تم رفع دعوى قضائية جماعية ضد شركة سوني بي إم جي. [ 25 ]
قضية التنصت على المكالمات الهاتفية في اليونان (2004-2005)
قضية التنصت اليونانية 2004-2005 ، والمعروفة أيضًا باسم "ووترغيت اليونانية"، [ 26 ] شملت التنصت غير القانوني على أكثر من 100 هاتف محمول على شبكة فودافون اليونان، معظمها لأعضاء في الحكومة اليونانية وكبار موظفي الخدمة المدنية. بدأ التنصت في مطلع أغسطس/آب 2004، وأُزيل في مارس/آذار 2005 دون الكشف عن هوية الجناة. قام المتسللون بتثبيت برنامج خبيث (روتكيت) يستهدف مقسم الهاتف AXE التابع لشركة إريكسون . ووفقًا لمجلة IEEE Spectrum ، كانت هذه "المرة الأولى التي يُرصد فيها برنامج روتكيت على نظام مُخصص، وهو في هذه الحالة مقسم هاتف إريكسون". [ 27 ] صُمم برنامج الروتكيت لتعديل ذاكرة المقسم أثناء تشغيله، وتمكين التنصت مع تعطيل سجلات التدقيق، وتعديل الأوامر التي تُدرج العمليات النشطة وكتل البيانات النشطة، وتغيير أمر التحقق من مجموع التحقق لكتل البيانات . سمحت ثغرة أمنية لمشغل يتمتع بصلاحيات مدير النظام بتعطيل سجل معاملات المقسم، وأجهزة الإنذار، وأوامر الوصول المتعلقة بقدرات المراقبة. [ 27 ] تم اكتشاف برنامج التجسس بعد أن قام المتسللون بتثبيت تحديث معيب، مما تسبب في عدم وصول الرسائل النصية القصيرة ، وأدى إلى إنشاء تقرير فشل تلقائي. تم استدعاء مهندسي إريكسون للتحقيق في العطل، واكتشفوا كتل البيانات المخفية التي تحتوي على قائمة أرقام الهواتف التي تتم مراقبتها، بالإضافة إلى برنامج التجسس وبرنامج المراقبة غير المصرح به.
الاستخدامات
لا تُعزز برامج التجسس الحديثة صلاحيات الوصول، [ 4 ] بل تُستخدم لجعل حمولة برمجية أخرى غير قابلة للكشف عن طريق إضافة قدرات التخفي. [ 9 ] تُصنف معظم برامج التجسس على أنها برامج ضارة ، لأن الحمولات التي تُدمج معها خبيثة. على سبيل المثال، قد تسرق حمولة ما كلمات مرور المستخدمين ، أو معلومات بطاقات الائتمان ، أو موارد الحوسبة، أو تقوم بأنشطة أخرى غير مصرح بها. قد يعتبر بعض مستخدمي برامج التجسس تطبيقات مساعدة: على سبيل المثال، قد يُخفي برنامج تجسس برنامج تشغيل محاكاة أقراص CD-ROM ، مما يسمح لمستخدمي ألعاب الفيديو بتجاوز إجراءات مكافحة القرصنة التي تتطلب إدخال وسائط التثبيت الأصلية في محرك أقراص ضوئية فعلي للتحقق من شراء البرنامج بشكل قانوني.
تُستخدم برامج التجسس الخفية (Rootkits) وحمولاتها في العديد من الأغراض:
- يُتيح هذا النظام للمهاجم الوصول الكامل عبر ثغرة أمنية ، مما يسمح له بالوصول غير المصرح به، على سبيل المثال، لسرقة المستندات أو تزويرها. إحدى طرق تنفيذ ذلك هي التحايل على آلية تسجيل الدخول، مثل برنامج /bin/login في أنظمة يونكس أو برنامج GINA في ويندوز. يبدو البرنامج البديل وكأنه يعمل بشكل طبيعي، ولكنه يقبل أيضًا كلمة مرور سرية تُمكّن المهاجم من الوصول المباشر إلى النظام بصلاحيات إدارية، متجاوزًا بذلك آليات المصادقة والترخيص القياسية .
- إخفاء البرامج الضارة الأخرى، ولا سيما برامج تسجيل ضغطات المفاتيح لسرقة كلمات المرور وفيروسات الكمبيوتر . [ 28 ]
- استغلال الجهاز المخترق كجهاز زومبي لشن هجمات على أجهزة كمبيوتر أخرى. (ينشأ الهجوم من النظام أو الشبكة المخترقة، بدلاً من نظام المهاجم). عادةً ما تكون أجهزة الكمبيوتر "الزومبي" أعضاءً في شبكات بوت نت كبيرة يمكنها - من بين أمور أخرى - شن هجمات حجب الخدمة ، وتوزيع البريد الإلكتروني العشوائي ، وتنفيذ عمليات احتيال النقر . [ 29 ]
في بعض الحالات، توفر برامج التجسس الخفية (rootkits) الوظائف المطلوبة، وقد يتم تثبيتها عمداً نيابة عن مستخدم الكمبيوتر:
- اكتشاف الهجمات، على سبيل المثال، في مصيدة عسل . [ 30 ]
- تحسين برامج المحاكاة وبرامج الأمان. [ 31 ] يُعدّ كلٌّ من Alcohol 120% و Daemon Tools مثالين تجاريين على برامج التجسس الخفية (rootkits) غير الضارة، والتي تُستخدم لتجاوز آليات حماية النسخ مثل SafeDisc و SecuROM . [ 32 ] كما يستخدم برنامج مكافحة الفيروسات Kaspersky تقنيات تُشبه برامج التجسس الخفية لحماية نفسه من الأنشطة الضارة. فهو يُحمّل برامج تشغيل خاصة به لاعتراض نشاط النظام، ثم يمنع العمليات الأخرى من إلحاق الضرر به. لا تُخفى عملياته، ولكن لا يُمكن إنهاؤها بالطرق القياسية.
- الحماية من السرقة: قد تحتوي أجهزة الكمبيوتر المحمولة على برامج خبيثة تعتمد على نظام BIOS، والتي تقوم بالإبلاغ دوريًا إلى جهة مركزية، مما يسمح بمراقبة الكمبيوتر المحمول أو تعطيله أو مسح معلوماته في حالة سرقته. [ 33 ]
- تجاوز تفعيل منتجات مايكروسوفت [ 34 ]
الأنواع
يوجد ما لا يقل عن خمسة أنواع من برامج التجسس الخفية (rootkits)، تتراوح من تلك الموجودة في أدنى مستوى في البرامج الثابتة (ذات أعلى الامتيازات)، وصولاً إلى أقل أنواعها امتيازاً والتي تعمل على مستوى المستخدم في الحلقة 3. وقد تحدث تركيبات هجينة من هذه الأنواع، تمتد على سبيل المثال، من وضع المستخدم إلى وضع النواة. [ 35 ]
وضع المستخدم

تعمل برامج التجسس الخبيثة في وضع المستخدم ضمن الحلقة 3 ، جنبًا إلى جنب مع التطبيقات الأخرى، بصلاحيات المستخدم، بدلًا من عمليات النظام منخفضة المستوى. [ 36 ] ولديها عدة طرق تثبيت محتملة لاعتراض وتعديل السلوك القياسي لواجهات برمجة التطبيقات (APIs). بعضها يحقن مكتبة مرتبطة ديناميكيًا (مثل ملف DLL على نظام ويندوز، أو ملف dylib على نظام ماك أو إس إكس ) في عمليات أخرى، وبالتالي يكون قادرًا على التنفيذ داخل أي عملية مستهدفة لانتحال شخصيتها؛ بينما يقوم البعض الآخر، ممن يمتلكون صلاحيات كافية، ببساطة بالكتابة فوق ذاكرة التطبيق المستهدف. تشمل آليات الحقن ما يلي: [ 36 ]
- استخدام ملحقات التطبيقات التي يوفرها المورد. على سبيل المثال، يحتوي مستكشف ويندوز على واجهات عامة تسمح لأطراف ثالثة بتوسيع وظائفه.
- اعتراض الرسائل .
- أدوات تصحيح الأخطاء .
- استغلال الثغرات الأمنية .
- ربط أو تعديل وظائف واجهات برمجة التطبيقات الشائعة الاستخدام، على سبيل المثال، لإخفاء عملية أو ملف قيد التشغيل موجود على نظام الملفات. [ 37 ]
بما أن تطبيقات وضع المستخدم تعمل جميعها في مساحة ذاكرة خاصة بها، فإنّ برنامج التجسس الخبيث يحتاج إلى إجراء هذا التعديل في مساحة ذاكرة كل تطبيق قيد التشغيل. إضافةً إلى ذلك، يحتاج برنامج التجسس الخبيث إلى مراقبة النظام بحثًا عن أي تطبيقات جديدة يتم تشغيلها، وتعديل مساحة ذاكرة تلك البرامج قبل اكتمال تشغيلها.
— نظرة عامة على برامج التجسس الخفية لنظام ويندوز، سيمانتك [ 4 ]
وضع النواة
تعمل برامج التجسس الخفية (rootkits) التي تعمل في وضع النواة بأعلى صلاحيات نظام التشغيل ( الحلقة 0 ) عن طريق إضافة تعليمات برمجية أو استبدال أجزاء من نظام التشغيل الأساسي، بما في ذلك النواة وبرامج تشغيل الأجهزة المرتبطة بها . تدعم معظم أنظمة التشغيل برامج تشغيل الأجهزة التي تعمل في وضع النواة، والتي تُنفذ بنفس صلاحيات نظام التشغيل نفسه. ولذلك، يتم تطوير العديد من برامج التجسس الخفية التي تعمل في وضع النواة كبرامج تشغيل أجهزة أو وحدات قابلة للتحميل، مثل وحدات النواة القابلة للتحميل في لينكس أو برامج تشغيل الأجهزة في مايكروسوفت ويندوز . يتمتع هذا النوع من برامج التجسس الخفية بوصول أمني غير مقيد، ولكنه أكثر صعوبة في البرمجة. [ 38 ] يؤدي هذا التعقيد إلى شيوع الأخطاء البرمجية، وأي خطأ في التعليمات البرمجية التي تعمل على مستوى النواة قد يؤثر بشكل خطير على استقرار النظام، مما يؤدي إلى اكتشاف برنامج التجسس الخفي. [ 38 ] تم تطوير أحد أوائل برامج التجسس الخفية التي تعمل في وضع النواة والمعروفة على نطاق واسع لنظام ويندوز NT 4.0 ونُشر في مجلة Phrack عام 1999 بواسطة جريج هوجلوند . [ 39 ] [ 40 ] قد يكون اكتشاف برامج التجسس الخفية (rootkits) وإزالتها صعبًا للغاية، لأنها تعمل على نفس مستوى أمان نظام التشغيل، وبالتالي فهي قادرة على اعتراض أو تعطيل عمليات نظام التشغيل الأكثر موثوقية. أي برنامج، مثل برامج مكافحة الفيروسات ، يعمل على النظام المخترق يكون عرضة للخطر بنفس القدر. [ 41 ] في هذه الحالة، لا يمكن الوثوق بأي جزء من النظام.
يمكن لبرنامج روتكيت تعديل هياكل البيانات في نواة نظام ويندوز باستخدام أسلوب يُعرف باسم التلاعب المباشر بكائنات النواة (DKOM). [ 42 ] يُمكن استخدام هذا الأسلوب لإخفاء العمليات. كما يُمكن لبرنامج روتكيت يعمل في وضع النواة أن يُعطّل جدول وصف خدمات النظام (SSDT)، أو يُعدّل البوابات بين وضع المستخدم ووضع النواة، وذلك لإخفاء نفسه. [ 4 ] وبالمثل، في نظام لينكس ، يُمكن لبرنامج روتكيت تعديل جدول استدعاءات النظام لتعطيل وظائف النواة. [ 43 ] [ 44 ] من الشائع أن يُنشئ برنامج روتكيت نظام ملفات مُشفّرًا ومخفيًا يُمكنه من خلاله إخفاء برامج ضارة أخرى أو نسخ أصلية من الملفات التي أصابها. [ 45 ] تتطور أنظمة التشغيل لمواجهة خطر برامج روتكيت التي تعمل في وضع النواة. على سبيل المثال، تُطبّق إصدارات 64 بت من مايكروسوفت ويندوز الآن التوقيع الإلزامي على جميع برامج التشغيل على مستوى النواة لجعل تنفيذ التعليمات البرمجية غير الموثوقة بأعلى الصلاحيات في النظام أكثر صعوبة. [ 46 ]
مجموعات أدوات الاختراق
يمكن لنوع من برامج التجسس الخبيثة التي تعمل في وضع النواة، يُسمى " بوتكيت" ، أن يصيب شفرة بدء التشغيل مثل سجل التمهيد الرئيسي (MBR) أو سجل تمهيد وحدة التخزين (VBR) أو قطاع التمهيد ، وبالتالي يمكن استخدامه لمهاجمة أنظمة تشفير القرص بالكامل . [ 47 ] ومن الأمثلة على هذا النوع من الهجمات على تشفير القرص ما يُعرف بـ" هجوم الخادمة الشريرة "، حيث يقوم المهاجم بتثبيت بوتكيت على جهاز كمبيوتر غير مراقب. السيناريو المُتصوَّر هو خادمة تتسلل إلى غرفة الفندق حيث ترك الضحايا أجهزتهم. [ 48 ] يستبدل البوتكيت مُحمِّل التمهيد الشرعي بآخر تحت سيطرته. عادةً ما يستمر مُحمِّل البرامج الخبيثة في العمل حتى بعد الانتقال إلى الوضع المحمي عند تحميل النواة، وبالتالي يتمكن من اختراقها. [ 49 ] [ 50 ] [ 51 ] على سبيل المثال، يقوم "بوتكيت المُخترق" باختراق النظام باستخدام مُحمِّل تمهيد مُخترق لاعتراض مفاتيح التشفير وكلمات المرور. [ 52 ] في عام 2010، نجح برنامج Alureon الخبيث في تجاوز متطلبات توقيع برامج التشغيل في وضع النواة 64 بت في نظام التشغيل Windows 7 ، وذلك بتعديل سجل الإقلاع الرئيسي . [ 53 ] على الرغم من أنها ليست برامج ضارة بالمعنى الحرفي للكلمة، أي أنها لا تقوم بأي شيء لا يرغب به المستخدم، إلا أن بعض برامج "Vista Loader" أو "Windows Loader" تعمل بطريقة مشابهة عن طريق حقن جدول ACPI SLIC (رمز النظام الداخلي المرخص) في نسخة BIOS المخزنة مؤقتًا في ذاكرة الوصول العشوائي أثناء الإقلاع، وذلك لتعطيل عملية تنشيط نظامي التشغيل Windows Vista وWindows 7. وقد تم إبطال هذا الأسلوب الهجومي في إصدارات Windows 8 (غير المخصصة للخوادم) ، والتي تستخدم مفتاحًا فريدًا خاصًا بكل جهاز، ولا يمكن استخدامه إلا من قبل ذلك الجهاز. [ 54 ] توفر العديد من شركات مكافحة الفيروسات أدوات وبرامج مجانية لإزالة برامج الإقلاع الخبيثة.
مستوى المشرف
تم تطوير برامج التجسس الخفية (Rootkits) في الأوساط الأكاديمية كبرامج مراقبة من النوع الثاني (Type II Hypervisors) كإثبات للمفهوم. من خلال استغلال ميزات المحاكاة الافتراضية للأجهزة، مثل Intel VT أو AMD-V ، يعمل هذا النوع من برامج التجسس الخفية في الحلقة -1 (Ring-1) ويستضيف نظام التشغيل المستهدف كآلة افتراضية ، مما يُمكّن برنامج التجسس الخفي من اعتراض استدعاءات الأجهزة التي يُجريها نظام التشغيل الأصلي. [ 6 ] على عكس برامج المراقبة الافتراضية العادية، لا يتعين تحميلها قبل نظام التشغيل، بل يمكنها التحميل داخل نظام التشغيل قبل ترقيته إلى آلة افتراضية. [ 6 ] لا يتطلب برنامج التجسس الخفي المُدمج في برنامج المراقبة الافتراضية إجراء أي تعديلات على نواة النظام المستهدف لاختراقه؛ ومع ذلك، لا يعني هذا أنه لا يمكن اكتشافه بواسطة نظام التشغيل الضيف. على سبيل المثال، قد تكون اختلافات التوقيت قابلة للكشف في تعليمات وحدة المعالجة المركزية . [ 6 ] يُعد برنامج التجسس الخفي المختبري "SubVirt"، الذي طُوّر بالاشتراك بين باحثين من مايكروسوفت وجامعة ميشيغان ، مثالًا أكاديميًا على برنامج تجسس خفي قائم على الآلة الافتراضية (VMBR)، [ 55 ] بينما يُعد برنامج Blue Pill مثالًا آخر. في عام 2009، عرض باحثون من مايكروسوفت وجامعة ولاية كارولينا الشمالية برنامجًا مضادًا لبرامج التجسس الخبيثة (Rootkit) يعمل على مستوى طبقة المشرف، يُسمى Hooksafe ، ويوفر حماية عامة ضد برامج التجسس الخبيثة التي تعمل في وضع النواة. [ 56 ] وقدّم نظام التشغيل ويندوز 10 ميزة جديدة تُسمى "حماية الجهاز" (Device Guard)، تستفيد من تقنية المحاكاة الافتراضية لتوفير حماية خارجية مستقلة لنظام التشغيل ضد البرامج الخبيثة من نوع برامج التجسس الخبيثة. [ 57 ]
البرامج الثابتة والأجهزة
تستخدم برامج التجسس الخفية (rootkits) الموجودة في البرامج الثابتة للأجهزة أو المنصات لإنشاء صورة برمجية خبيثة دائمة في مكونات الأجهزة، مثل جهاز التوجيه ، أو بطاقة الشبكة ، أو القرص الصلب ، أو نظام الإدخال والإخراج الأساسي (BIOS) . [ 36 ] [ 59 ] تختبئ هذه البرامج الخبيثة في البرامج الثابتة، لأنها لا تخضع عادةً لفحص سلامة التعليمات البرمجية . وقد أثبت جون هيسمان جدوى برامج التجسس الخفية في كل من إجراءات البرامج الثابتة ACPI [ 60 ] وفي ذاكرة القراءة فقط (ROM) لبطاقة توسيع PCI . [ 61 ] في أكتوبر 2008، عبث مجرمون بأجهزة قراءة بطاقات الائتمان الأوروبية قبل تثبيتها. واعترضت هذه الأجهزة بيانات بطاقات الائتمان ونقلتها عبر شبكة الهاتف المحمول. [ 62 ] في مارس 2009، نشر الباحثان ألفريدو أورتيغا وأنيبال ساكو تفاصيل برنامج تجسس خفي على مستوى نظام الإدخال والإخراج الأساسي (BIOS) لنظام ويندوز، والذي تمكن من البقاء بعد استبدال القرص وإعادة تثبيت نظام التشغيل. [ 63 ] [ 64 ] [ 65 ] بعد بضعة أشهر، علموا أن بعض أجهزة الكمبيوتر المحمولة تُباع مزودة ببرنامج خبيث شرعي، يُعرف باسم Absolute CompuTrace أو Absolute LoJack لأجهزة الكمبيوتر المحمولة ، مُثبّت مسبقًا في العديد من صور BIOS. هذا نظام تقني مضاد للسرقة ، وقد أظهر الباحثون أنه يمكن استخدامه لأغراض خبيثة. [ 33 ]
تُطبّق تقنية الإدارة النشطة من إنتل ، وهي جزء من تقنية Intel vPro ، إدارةً خارج النطاق ، مما يمنح المسؤولين إمكانية الإدارة والتحكم عن بُعد في أجهزة الكمبيوتر دون تدخل المعالج الرئيسي أو نظام الإدخال والإخراج الأساسي (BIOS)، حتى عند إيقاف تشغيل النظام. تشمل الإدارة عن بُعد تشغيل وإيقاف التشغيل عن بُعد، وإعادة الضبط عن بُعد، وإعادة توجيه بدء التشغيل، وإعادة توجيه وحدة التحكم، والوصول إلى إعدادات BIOS قبل بدء التشغيل، وفلترة قابلة للبرمجة لحركة مرور الشبكة الواردة والصادرة، والتحقق من وجود الوكلاء، والتنبيهات القائمة على سياسات خارج النطاق، والوصول إلى معلومات النظام، مثل معلومات أصول الأجهزة، وسجلات الأحداث الدائمة، وغيرها من المعلومات المخزنة في ذاكرة مخصصة (وليست على القرص الصلب) حيث يمكن الوصول إليها حتى في حالة تعطل نظام التشغيل أو إيقاف تشغيل الكمبيوتر. تتطلب بعض هذه الوظائف مستوىً متقدمًا من برامج التجسس الخفية (Rootkit)، وهي عبارة عن جهاز كمبيوتر تجسس ثانٍ غير قابل للإزالة مُدمج حول الكمبيوتر الرئيسي. تتمتع معالجات Sandy Bridge والشرائح المستقبلية بـ "القدرة على تعطيل واستعادة جهاز كمبيوتر مفقود أو مسروق عن بُعد عبر شبكة الجيل الثالث (3G)". يمكن أن تساعد برامج التجسس المدمجة في مجموعة الشرائح في استعادة أجهزة الكمبيوتر المسروقة، أو إزالة البيانات، أو جعلها عديمة الفائدة، ولكنها تثير أيضًا مخاوف تتعلق بالخصوصية والأمان من التجسس وإعادة التوجيه غير القابل للكشف من قبل الإدارة أو المتسللين الذين قد يتمكنون من السيطرة.
التركيب والإخفاء
تستخدم برامج التجسس الخفية (Rootkits) تقنيات متنوعة للسيطرة على النظام؛ ويؤثر نوع برنامج التجسس على اختيار أسلوب الهجوم. تعتمد التقنية الأكثر شيوعًا على استغلال الثغرات الأمنية لتحقيق تصعيد امتيازات خفي . وهناك نهج آخر يتمثل في استخدام حصان طروادة ، لخداع مستخدم الكمبيوتر وجعله يثق ببرنامج تثبيت برنامج التجسس على أنه برنامج حميد - في هذه الحالة، تقنع الهندسة الاجتماعية المستخدم بأن برنامج التجسس مفيد. [ 38 ] تُصبح مهمة التثبيت أسهل إذا لم يُطبق مبدأ أقل الامتيازات ، حيث لا يضطر برنامج التجسس حينها إلى طلب امتيازات مرتفعة (على مستوى المسؤول) بشكل صريح. لا يمكن تثبيت أنواع أخرى من برامج التجسس إلا من قِبل شخص لديه وصول فعلي إلى النظام المستهدف. قد يتم تثبيت بعض برامج التجسس عمدًا من قِبل مالك النظام أو شخص مُخوّل من قِبله، على سبيل المثال لغرض مراقبة الموظفين ، مما يجعل هذه التقنيات التخريبية غير ضرورية. [ 66 ] بعض عمليات تثبيت برامج التجسس الخبيثة مدفوعة تجاريًا، حيث يُعد نظام الدفع مقابل التثبيت (PPI) طريقة شائعة للتوزيع. [ 67 ] [ 68 ]
بمجرد تثبيته، يتخذ برنامج التجسس الجذري (Rootkit) إجراءات فعّالة لإخفاء وجوده داخل النظام المضيف من خلال التحايل على أدوات أمان نظام التشغيل القياسية وواجهات برمجة التطبيقات (APIs) المستخدمة في التشخيص والمسح والمراقبة. [ 69 ] ويحقق برنامج التجسس الجذري ذلك عن طريق تعديل سلوك الأجزاء الأساسية لنظام التشغيل من خلال تحميل التعليمات البرمجية في عمليات أخرى، أو تثبيت أو تعديل برامج التشغيل ، أو وحدات النواة . وتشمل تقنيات التمويه إخفاء العمليات الجارية عن آليات مراقبة النظام، وإخفاء ملفات النظام وبيانات التكوين الأخرى. [ 70 ] ومن الشائع أن يقوم برنامج التجسس الجذري بتعطيل خاصية تسجيل الأحداث في نظام التشغيل، في محاولة لإخفاء أدلة الهجوم. ويمكن لبرامج التجسس الجذرية، نظريًا، التحايل على أي نشاط من أنشطة نظام التشغيل. [ 71 ] ويمكن تشبيه "برنامج التجسس الجذري المثالي" بـ" الجريمة المثالية ": جريمة لا يدرك أحد وقوعها. تتخذ برامج التجسس الخفية (Rootkits) أيضًا عددًا من التدابير لضمان بقائها بعيدًا عن الكشف والإزالة بواسطة برامج مكافحة الفيروسات، بالإضافة إلى تثبيتها عادةً في وضع النواة (Ring 0)، حيث تتمتع بصلاحيات كاملة على النظام. تشمل هذه التدابير تعدد الأشكال (تغيير "بصمتها" بحيث يصعب اكتشافها)، وتقنيات التخفي، وإعادة التوليد، وتعطيل برامج مكافحة البرامج الضارة أو إيقاف تشغيلها، [ 72 ] وعدم تثبيتها على الأجهزة الافتراضية حيث قد يكون من الأسهل على الباحثين اكتشافها وتحليلها.
كشف
تكمن المشكلة الأساسية في اكتشاف برامج التجسس الخفية (Rootkits) في أنه إذا تم اختراق نظام التشغيل، وخاصةً بواسطة برنامج تجسس خفي على مستوى النواة، فلا يمكن الوثوق به لاكتشاف التعديلات غير المصرح بها على نفسه أو مكوناته. [ 71 ] ولا يمكن الوثوق بأن إجراءات مثل طلب قائمة بالعمليات الجارية، أو قائمة بالملفات في دليل، ستتصرف كما هو متوقع. بعبارة أخرى، فإن برامج كشف برامج التجسس الخفية التي تعمل أثناء تشغيلها على أنظمة مصابة لا تكون فعالة إلا ضد برامج التجسس الخفية التي تعاني من خلل في تمويهها، أو التي تعمل بصلاحيات أقل من صلاحيات برنامج الكشف في النواة. [ 38 ] وكما هو الحال مع فيروسات الحاسوب ، فإن اكتشاف برامج التجسس الخفية والقضاء عليها يمثل صراعًا مستمرًا بين طرفي هذا النزاع. [ 71 ] ويمكن أن يتخذ الكشف عددًا من الأساليب المختلفة، بما في ذلك البحث عن "بصمات" الفيروس (مثل برامج مكافحة الفيروسات)، والتحقق من سلامة النظام (مثل التوقيعات الرقمية )، والكشف القائم على الاختلاف (مقارنة النتائج المتوقعة بالنتائج الفعلية)، والكشف السلوكي (مثل مراقبة استخدام وحدة المعالجة المركزية أو حركة مرور الشبكة).
بالنسبة لبرامج التجسس الخبيثة التي تعمل في وضع النواة، يُعدّ اكتشافها أكثر تعقيدًا، إذ يتطلب فحصًا دقيقًا لجدول استدعاءات النظام للبحث عن الدوال المُعدّلة التي قد تُعطّل سلوك النظام، [ 73 ] بالإضافة إلى فحص دقيق للذاكرة بحثًا عن أنماط تُشير إلى وجود عمليات مخفية. تشمل أدوات الكشف عن برامج التجسس الخبيثة في أنظمة يونكس: Zeppoo، [ 74 ] وchkrootkit و rkhunter و OSSEC . أما في أنظمة ويندوز، فتشمل أدوات الكشف: Microsoft Sysinternals RootkitRevealer ، [ 75 ] وAvast Antivirus ، [ 76 ] وSophos Anti-Rootkit، [ 77 ] و F-Secure ، [ 78 ] وRadix، [ 79 ] و GMER ، [ 80 ] و WindowsSCOPE . في النهاية، تُساهم أي أدوات كشف لبرامج التجسس الخبيثة تُثبت فعاليتها في عدم فعاليتها، حيث يُكيّف مُطوّرو البرامج الخبيثة برمجياتهم ويُجرّبونها للتهرّب من الكشف بواسطة الأدوات الشائعة الاستخدام. [ ملاحظات 1 ] قد يؤدي الكشف عن طريق فحص وحدة التخزين أثناء عدم تشغيل نظام التشغيل المشتبه به إلى تفويت برامج التجسس التي لا يتعرف عليها برنامج الفحص، حيث أن برنامج التجسس غير نشط ويتم قمع السلوك المشبوه؛ قد تفشل برامج مكافحة البرامج الضارة التقليدية التي تعمل مع برنامج التجسس قيد التشغيل إذا أخفى برنامج التجسس نفسه بشكل فعال.
وسيلة بديلة موثوقة
أفضل طريقة وأكثرها موثوقية للكشف عن برامج التجسس الخبيثة على مستوى نظام التشغيل هي إيقاف تشغيل الحاسوب المشتبه بإصابته، ثم فحص وحدة التخزين الخاصة به عن طريق الإقلاع من وسيط تخزين بديل موثوق (مثل قرص مضغوط للإنقاذ أو ذاكرة فلاش USB ). [ 81 ] هذه التقنية فعالة لأن برنامج التجسس الخبيث لا يستطيع إخفاء وجوده إذا لم يكن قيد التشغيل.
قائم على السلوك
تعتمد الطريقة السلوكية للكشف عن برامج التجسس الخفية (Rootkits) على استنتاج وجودها من خلال البحث عن سلوكيات مشابهة. فعلى سبيل المثال، من خلال تحليل أداء النظام، يمكن عزو الاختلافات في توقيت وتكرار استدعاءات واجهة برمجة التطبيقات (API) أو في الاستخدام الإجمالي لوحدة المعالجة المركزية (CPU) إلى وجود برنامج تجسس خفي. إلا أن هذه الطريقة معقدة وتعاني من ارتفاع نسبة الإنذارات الكاذبة . قد تُحدث برامج التجسس الخفية المعيبة تغييرات واضحة في النظام: فقد تسبب برنامج Alureon الخبيث في تعطل أنظمة ويندوز بعد أن كشف تحديث أمني عن خلل في تصميم شفرته البرمجية. [ 82 ] [ 83 ] وقد تُظهر سجلات محلل الحزم أو جدار الحماية أو نظام منع الاختراق أدلة على سلوك برامج التجسس الخفية في بيئة شبكية. [ 35 ]
التوقيع الإلكتروني
نادرًا ما تكتشف برامج مكافحة الفيروسات جميع الفيروسات في الاختبارات العامة (بحسب نوع البرنامج المستخدم ومدى فعاليته)، على الرغم من أن شركات برامج الأمان تُدمج خاصية كشف برامج التجسس الخفية (Rootkits) في منتجاتها. فإذا حاول برنامج تجسس خفي الاختباء أثناء فحص مكافحة الفيروسات، فقد يكتشفه نظام الكشف عن البرامج الخبيثة؛ وإذا حاول البرنامج الخفي إلغاء تحميل نفسه مؤقتًا من النظام، فسيظل بإمكان نظام الكشف عن التوقيعات (أو "بصمة النظام") اكتشافه. [ 84 ] هذا النهج المُدمج يُجبر المهاجمين على تنفيذ آليات للهجوم المضاد، أو إجراءات "الهجوم العكسي"، التي تُحاول إيقاف برامج مكافحة الفيروسات. قد تكون طرق الكشف القائمة على التوقيعات فعّالة ضد برامج التجسس الخفية المعروفة، ولكنها أقل فعالية ضد برامج التجسس الخفية المُصممة خصيصًا. [ 71 ]
قائم على الفرق
تعتمد إحدى طرق الكشف عن برامج التجسس الخبيثة (Rootkits) على مقارنة البيانات الأولية "الموثوقة" بالمحتوى "الملوث" الذي تُرجعه واجهة برمجة التطبيقات ( API) . على سبيل المثال، يمكن مقارنة الملفات الثنائية الموجودة على القرص بنسخها الموجودة في ذاكرة التشغيل (في بعض أنظمة التشغيل، يجب أن تكون الصورة الموجودة في الذاكرة مطابقة للصورة الموجودة على القرص)، أو يمكن التحقق من النتائج المُرجعة من واجهات برمجة تطبيقات نظام الملفات أو سجل ويندوز مقابل البنى الأولية على الأقراص الفعلية الأساسية [ 71 ] [ 85 ] ، إلا أنه في الحالة الأولى، قد تُدخل آليات نظام التشغيل، مثل إعادة توجيه الذاكرة أو تداخلها ، بعض الاختلافات الصحيحة . قد يكتشف برنامج التجسس الخبيث وجود ماسح ضوئي أو آلة افتراضية تعتمد على هذه الاختلافات (والتي تُستخدم عادةً لإجراء التحليل الجنائي الرقمي)، ويُعدّل سلوكه بحيث لا يمكن اكتشاف أي اختلافات. وقد استخدمت أداة RootkitRevealer الخاصة بروسينوفيتش الكشف القائم على الاختلافات للعثور على برنامج التجسس الخبيث الخاص بنظام إدارة الحقوق الرقمية (DRM) من سوني. [ 1 ]
التحقق من سلامة البيانات

يستخدم توقيع الشفرة بنية المفتاح العام للتحقق مما إذا كان الملف قد عُدِّل منذ توقيعه رقميًا من قِبل ناشره. بدلاً من ذلك، يمكن لمالك النظام أو مديره استخدام دالة تجزئة تشفيرية لحساب "بصمة" عند التثبيت، مما يساعد على اكتشاف التغييرات غير المصرح بها اللاحقة على مكتبات الشفرة الموجودة على القرص. [ 86 ] مع ذلك، تتحقق الطرق البسيطة فقط مما إذا كانت الشفرة قد عُدِّلت منذ التثبيت؛ ولا يمكن اكتشاف عمليات التخريب التي حدثت قبل ذلك. يجب إعادة إنشاء البصمة في كل مرة تُجرى فيها تغييرات على النظام، على سبيل المثال، بعد تثبيت تحديثات الأمان أو حزمة الخدمة . تُنشئ دالة التجزئة ملخصًا للرسالة ، وهو رمز قصير نسبيًا يُحسب من كل بت في الملف باستخدام خوارزمية تُحدث تغييرات كبيرة في ملخص الرسالة مع تغييرات أصغر في الملف الأصلي. من خلال إعادة حساب ملخص الرسالة للملفات المثبتة ومقارنته على فترات منتظمة بقائمة موثوقة من ملخصات الرسائل، يمكن اكتشاف التغييرات في النظام ومراقبتها، طالما تم إنشاء خط الأساس الأصلي قبل إضافة البرامج الضارة.
تستطيع برامج التجسس المتطورة (Rootkits) التحايل على عملية التحقق من خلال تقديم نسخة غير معدلة من الملف للفحص، أو بإجراء تعديلات برمجية في الذاكرة فقط، أو في سجلات إعادة التكوين، والتي تُقارن لاحقًا بقائمة بيضاء للقيم المتوقعة. [ 87 ] يجب أيضًا حماية الكود الذي يُنفذ عمليات التجزئة أو المقارنة أو التوسيع - في هذا السياق، ينص مفهوم جذر الثقة غير القابل للتغيير على أن الكود الأول الذي يقيس الخصائص الأمنية للنظام يجب أن يكون موثوقًا به لضمان عدم اختراق برنامج تجسس (Rootkit) أو برنامج إقلاع (Bootkit) للنظام على مستواه الأساسي. [ 88 ]
تفريغات الذاكرة
يؤدي فرض تفريغ كامل للذاكرة الافتراضية إلى كشف وجود روتكيت نشط (أو تفريغ نواة النظام في حالة وجود روتكيت يعمل في وضع النواة)، مما يسمح بإجراء تحليل جنائي غير متصل بالإنترنت باستخدام مصحح أخطاء على ملف التفريغ الناتج ، دون أن يتمكن الروتكيت من اتخاذ أي إجراءات لإخفاء نفسه. هذه التقنية متخصصة للغاية، وقد تتطلب الوصول إلى شفرة مصدرية غير عامة أو رموز تصحيح الأخطاء . لا يمكن دائمًا استخدام عمليات تفريغ الذاكرة التي يبدأها نظام التشغيل للكشف عن روتكيت قائم على برنامج إدارة الأجهزة الافتراضية، والذي يستطيع اعتراض وتخريب أدنى محاولات قراءة الذاكرة [ 6 ] - قد يكون من الضروري وجود جهاز مادي، مثل جهاز يُنفذ مقاطعة غير قابلة للإخفاء ، لتفريغ الذاكرة في هذا السيناريو. [ 89 ] [ 90 ] كما تُسهّل الآلات الافتراضية تحليل ذاكرة الجهاز المخترق من برنامج إدارة الأجهزة الافتراضية الأساسي، لذلك تتجنب بعض أنواع الروتكيت إصابة الآلات الافتراضية لهذا السبب.
إزالة
غالباً ما تكون إزالة برامج التجسس الخفية (rootkits) يدوياً أمراً بالغ الصعوبة بالنسبة لمستخدم الكمبيوتر العادي، [ 36 ] ولكن العديد من موردي برامج الأمان يقدمون أدوات للكشف التلقائي عن بعض برامج التجسس الخفية وإزالتها، عادةً كجزء من حزمة مكافحة الفيروسات . اعتباراً من عام 2005أداة إزالة البرامج الضارة من مايكروسوفت، التي تُصدر شهريًا لنظام ويندوز، قادرة على اكتشاف وإزالة بعض أنواع برامج التجسس الخبيثة (Rootkits). [ 91 ] [ 92 ] كما يمكن لبرنامج Windows Defender Offline إزالة هذه البرامج، لأنه يعمل من بيئة موثوقة قبل بدء تشغيل نظام التشغيل. [ 93 ] تستطيع بعض برامج مكافحة الفيروسات تجاوز واجهات برمجة تطبيقات نظام الملفات ، المعرضة للتلاعب من قِبل برامج التجسس الخبيثة. وبدلًا من ذلك، تصل هذه البرامج مباشرةً إلى هياكل نظام الملفات الخام، وتستخدم هذه المعلومات للتحقق من نتائج واجهات برمجة تطبيقات النظام لتحديد أي اختلافات قد تكون ناجمة عن برنامج تجسس خبيث. [ ملاحظات 2 ] [ 94 ] [ 95 ] [ 96 ] [ 97 ] يعتقد بعض الخبراء أن الطريقة الوحيدة الموثوقة لإزالتها هي إعادة تثبيت نظام التشغيل من وسائط موثوقة. [ 98 ] [ 99 ] وذلك لأن أدوات مكافحة الفيروسات وإزالة البرامج الضارة التي تعمل على نظام غير موثوق قد تكون غير فعالة ضد برامج التجسس الخبيثة المصممة جيدًا والتي تعمل في وضع النواة. يمكن أن يسمح تشغيل نظام تشغيل بديل من وسائط موثوقة بتثبيت وحدة تخزين النظام المصابة، وتنظيفها بأمان، ونسخ البيانات الحيوية منها، أو إجراء فحص جنائي رقمي. [ 35 ] يمكن استخدام أنظمة تشغيل خفيفة الوزن مثل Windows PE ، وWindows Recovery Console ، و Windows Recovery Environment ، وBartPE ، أو التوزيعات الحية لهذا الغرض، مما يسمح بتنظيف النظام. حتى في حال معرفة نوع وطبيعة برنامج التجسس (rootkit)، قد يكون الإصلاح اليدوي غير عملي، بينما تُعد إعادة تثبيت نظام التشغيل والتطبيقات أكثر أمانًا وبساطة وسرعة. [ 98 ]
الدفاعات
يُمثل تحصين النظام إحدى أولى طبقات الدفاع ضد برامج التجسس الخبيثة (Rootkits)، لمنع تثبيتها من الأساس. [ 100 ] يُعد تطبيق التحديثات الأمنية ، وتطبيق مبدأ أقل الامتيازات ، وتقليل مساحة الهجوم ، وتثبيت برامج مكافحة الفيروسات، من أفضل الممارسات الأمنية القياسية الفعّالة ضد جميع أنواع البرامج الضارة. [ 101 ] صُممت مواصفات التمهيد الآمن الجديدة، مثل UEFI، للتصدي لخطر برامج التمهيد الخبيثة، ولكن حتى هذه المواصفات عُرضة للاختراق إذا لم تُستغل ميزات الأمان التي تُقدمها. [ 59 ] بالنسبة لأنظمة الخوادم، يُوفر التحقق عن بُعد من الخادم، باستخدام تقنيات مثل تقنية التنفيذ الموثوق من إنتل (TXT)، طريقةً للتحقق من أن الخوادم تبقى في حالة جيدة معروفة. على سبيل المثال، يُؤكد تشفير البيانات المُخزنة في Microsoft BitLocker أن الخوادم في حالة جيدة معروفة عند بدء التشغيل. يُعدّ PrivateCore vCage برنامجًا يُؤمّن البيانات المُستخدمة (الذاكرة) لمنع برامج التجسس الخبيثة (bootkits وrootkits) من خلال التحقق من سلامة الخوادم عند بدء التشغيل. يعمل تطبيق PrivateCore بالتنسيق مع Intel TXT ويُحكم إغلاق واجهات نظام الخادم لمنع برامج التجسس الخبيثة المحتملة.
تُعدّ آلية دفاعية أخرى، تُعرف باسم "الجدار الافتراضي" (VTW)، بمثابة مُشرف افتراضي خفيف الوزن مزود بإمكانيات كشف برامج التجسس الخبيثة (rootkits) وتتبع الأحداث. في الوضع العادي (وضع الضيف)، يعمل نظام لينكس، وعندما ينتهك مُدير نواة لينكس (LKM) مُحمّل سياسات الأمان، ينتقل النظام إلى وضع المُضيف. يقوم الجدار الافتراضي في وضع المُضيف بكشف وتتبع وتصنيف أحداث برامج التجسس الخبيثة استنادًا إلى آليات التحكم في الوصول إلى الذاكرة وحقن الأحداث. تُظهر النتائج التجريبية فعالية الجدار الافتراضي في الكشف السريع عن برامج التجسس الخبيثة في نواة النظام والدفاع ضدها بأقل قدر من استهلاك وحدة المعالجة المركزية (أقل من 2%). يُقارن الجدار الافتراضي بشكل إيجابي مع أنظمة الدفاع الأخرى، مُؤكدًا على سهولة تنفيذه وإمكانية تحسين الأداء على خوادم لينكس. [ 102 ]
انظر أيضاً
- مؤتمر الحوسبة
- نظام كشف التسلل القائم على المضيف
- هجوم الوسيط
- ترسانة الروتكيت: الهروب والتهرب في الزوايا المظلمة للنظام
ملحوظات
- ↑ تم استهداف اسم عملية Sysinternals RootkitRevealer بواسطة البرامج الضارة؛ وفي محاولة لمواجهة هذا الإجراء المضاد، تستخدم الأداة الآن اسم عملية تم إنشاؤه عشوائيًا.
- ↑ من الناحية النظرية، يمكن لبرنامج روتكيت متطور بما فيه الكفاية على مستوى النواة أن يقوم بتخريب عمليات القراءة ضد هياكل بيانات نظام الملفات الخام أيضًا، بحيث تتطابق مع النتائج التي تُرجعها واجهات برمجة التطبيقات.
مراجع
- 1 2 3 4 5 6 7 8 "Rootkits، الجزء 1 من 3: التهديد المتزايد" (ملف PDF) . مكافي . 17-04-2006. مؤرشف من النسخة الأصلية (ملف PDF) بتاريخ 23-08-2006.
- ↑ إيفانسيتش، ن.؛ لي، ج. (23-08-2016). "6.2.3 برامج التجسس الخفية" . في: كولبير، إدوارد ج.م.؛ كوت، ألكسندر (محرران). الأمن السيبراني لأنظمة سكادا وغيرها من أنظمة التحكم الصناعية . سبرينغر. ص 100. ISBN 9783319321257– عبر كتب جوجل .
- ↑ "ما هو الروتكيت - التعريف والشرح" . www.kaspersky.com . 2021-04-09 . تم الاطلاع عليه بتاريخ 2021-11-13 .
- ١ ٢ ٣ ٤ "نظرة عامة على برامج التجسس الخفية لنظام ويندوز" (ملف PDF) . سيمانتك . ٢٦ مارس ٢٠٠٦. مؤرشف من النسخة الأصلية (ملف PDF) بتاريخ ١٤ ديسمبر ٢٠١٠. تم الاطلاع عليه بتاريخ ١٧ أغسطس ٢٠١٠ .
- ↑ سباركس، شيري؛ بتلر، جيمي (2005-08-01). "رفع مستوى الكشف عن برامج التجسس الخفية في نظام ويندوز". Phrack . 0xb (x3d).
- 1 2 3 4 5 مايرز، مايكل؛ يوندت، ستيفن (2007-08-07). مقدمة عن برامج التجسس الخفية المدعومة بالأجهزة الافتراضية (HVM) (تقرير). شركة كروشال سيكيوريتي. CiteSeerX 10.1.1.90.8832 .
- ↑ أندرو هاي؛ دانيال سيد؛ روري براي (2008). دليل كشف التسلل القائم على المضيف OSSEC . سينغريس. ص 276. ISBN 978-1-59749-240-9– عبر كتب جوجل .
- ↑ تومسون، كين (أغسطس 1984). "تأملات حول الثقة في الثقة" (ملف PDF) . مجلة اتصالات رابطة مكائن الحوسبة . 27 (8): 761. doi : 10.1145/358198.358210 . مؤرشف (ملف PDF) من الأصل بتاريخ 24 سبتمبر 2007. تم الاطلاع عليه بتاريخ 9 يونيو 2010 .
- 1 2 جريج هوجلوند؛ جيمس بتلر (2006). برامج التجسس الخفية: اختراق نواة نظام ويندوز . أديسون-ويسلي. ص 4. ISBN 978-0-321-29431-9– عبر كتب جوجل .
- ↑ فيري، بيتر (1 يوليو 2005). "هل حصلت على صلاحيات الجذر على نظام ماك ؟ " (ملف PDF) . نشرة الفيروسات . مؤرشف (ملف PDF) من الأصل بتاريخ 28 مايو 2022. تم الاطلاع عليه بتاريخ 3 أكتوبر 2025 .
- ↑ "Stuxnet يُقدّم أول برنامج خبيث معروف لأنظمة التحكم الصناعية" . سيمانتك . 6 أغسطس 2010. مؤرشف من الأصل في 20 أغسطس 2010. تم الاطلاع عليه في 4 ديسمبر 2010 .
- ↑ "تم ضبطها: لينوفو تُخبئ برامج غير مرغوب فيها لا يمكن إزالتها في أجهزة الكمبيوتر المحمولة التي تعمل بنظام ويندوز - عن طريق إخفائها في نظام الإدخال والإخراج الأساسي (BIOS)" . مؤرشف من الأصل بتاريخ 2025-09-06 . تم الاطلاع عليه بتاريخ 2025-10-26 .
- ↑ هيرن، أليكس (14 أغسطس/آب 2015). "لينوفو تُكرر فعلتها بإزالة مُكوّن من نظام LSE بعد مخاوف أمنية" . صحيفة الغارديان . الرقم الدولي الموحد للدوريات 0261-3077 . تاريخ الاطلاع: 26 أكتوبر/تشرين الأول 2025 .
- ↑ "استهدف فيروس ستوكسنت أصولاً إيرانية ذات قيمة عالية"" . بي بي سي نيوز . 23 سبتمبر 2010.
- ↑ كيم زيتر (17 فبراير 2011). "من المرجح أن تُعالج قضايا الحرب السيبرانية فقط بعد وقوع كارثة" . مجلة وايرد . مؤرشف من الأصل في 18 فبراير 2011. تم الاطلاع عليه في 18 فبراير 2011 .
- ↑ هاليداي، جوش (24 سبتمبر 2010). "دودة ستوكسنت هي 'عمل وكالة حكومية وطنية'"" . صحيفة الغارديان .
- ↑ ماركوف، جون (27 سبتمبر 2010). "هجوم صامت، لكنه ليس هجومًا خفيًا" . صحيفة نيويورك تايمز .
- ↑ "هل ستوكسنت هو أفضل برنامج خبيث على الإطلاق؟" . مجلة كمبيوتر وورلد . تم الاطلاع عليه بتاريخ 26-10-2025 .
- ↑ "القصة الحقيقية لـ Stuxnet - IEEE Spectrum" . spectrum.ieee.org . تاريخ الاسترجاع: 26-10-2025 .
- ↑ واينبرغر، شارون (2011-06-01). "أمن الحاسوب: هل هذه بداية الحرب السيبرانية؟" . مجلة نيتشر . 474 (7350): 142-145 . doi : 10.1038/474142a . ISSN 1476-4687 . PMID 21654779 .
- ↑ "تفاصيل برنامج التجسس: XCP.Sony.Rootkit" . شركة كمبيوتر أسوشيتس . 5 نوفمبر 2005. مؤرشف من الأصل في 18 أغسطس 2010. تم الاطلاع عليه في 19 أغسطس 2010 .
- ↑ روسينوفيتش، مارك (31 أكتوبر 2005). "سوني، وبرامج التجسس، وإدارة الحقوق الرقمية تجاوزت الحدود" . مدونات تيك نت . مايكروسوفت . مؤرشف من الأصل في 1 يناير 2016. تم الاطلاع عليه في 16 أغسطس 2010 .
- ↑ "مشاكل سوني طويلة الأمد مع أقراص الروتكيت" . بي بي سي نيوز . 21 نوفمبر 2005. مؤرشف من الأصل في 20 فبراير 2026. تم الاطلاع عليه في 20 فبراير 2026 .
- ↑ فيلتون، إد (15-11-2005). "برنامج إلغاء التثبيت عبر الإنترنت من سوني يفتح ثغرة أمنية كبيرة؛ سوني ستستدعي الأقراص" .
- ↑ نايت، ويل (11 نوفمبر 2005). "مقاضاة شركة سوني بي إم جي بسبب برامج إخفاء البيانات على أقراص الموسيقى المدمجة" . مجلة نيو ساينتست . مؤرشف من الأصل بتاريخ 15 يناير 2011. تاريخ الاطلاع: 21 نوفمبر 2010 .
- ^ كيرياكيدو ، دينا (2 مارس 2006). ""فضيحة ووترغيت اليونانية تُحدث صدمة سياسية" . رويترز . تاريخ الاطلاع: 24 نوفمبر/تشرين الثاني 2007 .
- 1 2 فاسيليس بريفيلاكس؛ ديوميديس سبينليس (يوليو 2007). "قضية أثينا" . مؤرشف من الأصل في 1 أغسطس 2009.
- ↑ روسينوفيتش، مارك (يونيو 2005). "الكشف عن برامج التجسس الخفية" . ويندوز آي تي برو . مؤرشف من الأصل في 3 نوفمبر 2005. تم الاطلاع عليه في 21 فبراير 2026 .
- ↑ ماركس، جوزيف (1 يوليو/تموز 2021). "الأمن السيبراني 202: مستقبل وزارة العدل يكمن في تعطيل أنشطة المتسللين، وليس مجرد توجيه الاتهامات إليهم" . صحيفة واشنطن بوست . مؤرشف من الأصل في 7 فبراير/شباط 2022. تم الاطلاع عليه في 24 يوليو/تموز 2021 .
- ↑ ستيف حنا (سبتمبر 2007). "استخدام تقنية الروتكيت للكشف عن البرامج الضارة القائمة على نظام الخداع" (ملف PDF) . اجتماع CCEID.
- ↑ روسينوفيتش، مارك (6 فبراير 2006). "استخدام برامج التجسس الخفية للتغلب على إدارة الحقوق الرقمية" . وينترنالز . سيسينترالز. مؤرشف من الأصل في 14 أغسطس 2006. تم الاسترجاع في 13 أغسطس 2006 .
- ↑ "شركة سيمانتك تُصدر تحديثًا لبرنامجها الخبيث المُتغلغل" . HWM (مارس): 89. 2006 – عبر كتب جوجل .
- 1 2 أورتيغا، ألفريدو؛ ساكو، أنيبال (24 يوليو 2009). تعطيل الروتكيت: هجمات على تقنيات مكافحة السرقة في نظام BIOS (ملف PDF) . مؤتمر بلاك هات الولايات المتحدة الأمريكية 2009 (ملف PDF). بوسطن، ماساتشوستس: كور سيكيوريتي تكنولوجيز. مؤرشف (ملف PDF) من الأصل بتاريخ 16 أكتوبر 2014. تم الاطلاع عليه بتاريخ 12 يونيو 2014 .
- ↑ كلايسنر، بيتر (2009-09-02). "مجموعة أدوات الاختراق: صعود أدوات الاختراق الجذرية وأدوات الاختراق في البرية" (ملف PDF) . مؤرشف من الأصل (ملف PDF) بتاريخ 2011-07-16 . تم الاطلاع عليه بتاريخ 2010-11-23 .
- 1 2 3 أنسون، ستيف؛ بانتينغ، ستيف (2007). إتقان الطب الشرعي والتحقيق في شبكات ويندوز . جون وايلي وأولاده. الصفحات 73-74 . ISBN 978-0-470-09762-5.
- ١ ٢ ٣ ٤ "الروتكيت الجزء الثاني: مقدمة تقنية" (ملف PDF) . مكافي . ٢٠٠٧-٠٤-٠٣. مؤرشف من الأصل (ملف PDF) بتاريخ ٢٠٠٨-١٢-٠٥ . تم الاطلاع عليه بتاريخ ٢٠١٠-٠٨-١٧ .
- ↑ Kdm. "NTIllusion: برنامج تجسس محمول لنظام ويندوز 32" . Phrack . 62 (12). مؤرشف من الأصل بتاريخ 20 فبراير 2026. تم الاطلاع عليه بتاريخ 21 فبراير 2026 .
- 1 2 3 4 "فهم تقنيات مكافحة البرمجيات الخبيثة" (ملف PDF) . مايكروسوفت . 21 فبراير 2007. مؤرشف من النسخة الأصلية (ملف PDF) بتاريخ 11 سبتمبر 2010. تم الاطلاع عليه بتاريخ 17 أغسطس 2010 .
- ↑ هوغلوند، غريغ (999-09-09). "برنامج روتكيت حقيقي لنظام التشغيل NT، يقوم بتعديل نواة نظام التشغيل NT" . فراك . 9 (55). مؤرشف من الأصل في 2026-02-20 . تم الاطلاع عليه في 2026-02-21 .
- ^ تشوفاكين ، أنطون (2003-02-02). نظرة عامة على Unix Rootkits (PDF) (أبلغ عن). شانتيلي، فيرجينيا: iDEFENSE. مؤرشفة من الأصلي (PDF) بتاريخ 25-07-2011 . تم الاسترجاع 2010/11/21 .
- ↑ بتلر، جيمس؛ سباركس، شيري (16 نوفمبر 2005). "برامج التجسس الخفية لنظام ويندوز لعام 2005، الجزء الثاني" . سيمانتك كونكت . سيمانتك . تم الاطلاع عليه بتاريخ 13 نوفمبر 2010 .
- ↑ بتلر، جيمس؛ سباركس، شيري (2005-11-03). "برامج التجسس الخفية لنظام ويندوز لعام 2005، الجزء الأول" . سيمانتك كونكت . سيمانتك. مؤرشف من الأصل بتاريخ 2021-01-21 . تم الاطلاع عليه بتاريخ 2010-11-12 .
- ↑ بورداش، ماريوس (17 نوفمبر 2004). "الكشف عن برامج التجسس الخبيثة والاختراقات على مستوى نواة نظام لينكس" . سيمانتك . مؤرشف من الأصل بتاريخ 10 أغسطس 2020. تم الاطلاع عليه بتاريخ 23 نوفمبر 2010 .
- ↑ أوزبورن، تشارلي (17 سبتمبر 2019). "برمجية Skidmap الخبيثة تتغلغل في نواة النظام لإخفاء تعدين العملات المشفرة غير المشروع" . ZDNet . مؤرشف من الأصل في 25 يوليو 2021. تم الاطلاع عليه في 24 يوليو 2021 .
- ↑ ماركو جولياني (11 أبريل 2011). "ZeroAccess - برنامج تجسس متقدم يعمل في وضع النواة" (ملف PDF) . شركة Webroot Software . مؤرشف (ملف PDF) من النسخة الأصلية بتاريخ 25 أغسطس 2011. تم الاطلاع عليه بتاريخ 10 أغسطس 2011 .
- ↑ "متطلبات توقيع برامج التشغيل لنظام التشغيل Windows" . مايكروسوفت . 2017-01-06. مؤرشف من الأصل في 2026-02-20 . تم الاطلاع عليه في 2026-02-20 .
- ↑ سالتر، جيم (31 يوليو 2020). "أنظمة ريد هات وسينت أو إس لا تعمل بسبب تصحيحات BootHole" . آرس تكنيكا . تم الاطلاع عليه في 24 يوليو 2021 .
- ↑ شناير، بروس (23-10-2009). ""هجوم الخادمة الشريرة على محركات الأقراص الصلبة المشفرة" . مؤرشف من الأصل بتاريخ 20 فبراير 2026. تم الاطلاع عليه بتاريخ 20 فبراير 2026 .
- ↑ سويدر، ديريك؛ بيرمه، رايان (9 مايو 2007). "بوتروت" . شركة إي آي للأمن الرقمي. مؤرشف من الأصل بتاريخ 17 أغسطس 2013. تم الاطلاع عليه بتاريخ 23 نوفمبر 2010 .
- ↑ كومار، نيتين؛ كومار، فيبين (2007). Vbootkit: اختراق أمان ويندوز فيستا (ملف PDF) . مؤتمر بلاك هات أوروبا 2007 .
- ↑ "مجموعة أدوات الإقلاع: إصدار فرعي مخصص لأنظمة ويندوز 2000/إكس بي/2003 يعتمد على قطاع إقلاع مخصص" . مختبرات إن في . 4 فبراير 2007. مؤرشف من الأصل في 10 يونيو 2010. تم الاطلاع عليه في 21 نوفمبر 2010 .
- ↑ كلايسنر، بيتر (16 مارس 2013). "مجموعة أدوات الأحذية المخدر" . بيتر كلايسنر. مؤرشف من الأصل في 9 ديسمبر 2014. تم الاطلاع عليه في 20 فبراير 2026 .
- ↑ غودين، دان (16 نوفمبر 2010). "أكثر برامج التجسس تطوراً في العالم يخترق نظام ويندوز 64 بت" . ذا ريجستر . مؤرشف من الأصل بتاريخ 21 نوفمبر 2010. تم الاطلاع عليه بتاريخ 22 نوفمبر 2010 .
- ↑ فرانسيسكو، نيل ماكاليستر في سان. "مايكروسوفت تُحكم قبضتها على تراخيص ويندوز 8 لمصنعي المعدات الأصلية" . www.theregister.com . مؤرشف من الأصل بتاريخ 8 أكتوبر 2021. تم الاطلاع عليه بتاريخ 8 أكتوبر 2021 .
- ↑ كينغ، صموئيل ت.؛ تشين، بيتر م.؛ وانغ، يي مين؛ فيربوفسكي، تشاد؛ وانغ، هيلين ج.؛ لورش، جاكوب ر. (2006-04-03). "SubVirt: تنفيذ البرمجيات الخبيثة باستخدام الآلات الافتراضية" (ملف PDF) . ندوة IEEE للأمن والخصوصية لعام 2006 (S&P'06) . معهد مهندسي الكهرباء والإلكترونيات . الصفحات 14-327. doi : 10.1109/SP.2006.38 . ISBN 0-7695-2574-1S2CID 1349303. مؤرشف (PDF) من الأصل بتاريخ 7 ديسمبر 2008. تم الاطلاع عليه بتاريخ 15 سبتمبر 2008 .
- ↑ وانغ، تشي؛ جيانغ، شوكسيان؛ تسوي، ويدونغ؛ نينغ، بنغ (11 أغسطس/آب 2009). "مواجهة برامج التجسس الخفية في نواة النظام باستخدام حماية الخطاف الخفيفة" (ملف PDF) . في: الشاعر، إيهاب (رئيس الجلسة) (محرر). وقائع المؤتمر السادس عشر لجمعية ACM لأمن الحاسوب والاتصالات . CCS 2009: المؤتمر السادس عشر لجمعية ACM لأمن الحاسوب والاتصالات . جها، سوميش؛ كيروميتيس، أنجيلوس د. (رؤساء البرنامج). نيويورك: ACM نيويورك. doi : 10.1145/1653662.1653728 . ISBN 978-1-60558-894-0تمت أرشفة الملف (PDF) من النسخة الأصلية بتاريخ 29-12-2009 . تم الاطلاع عليه بتاريخ 11-11-2009 .
- ↑ "يُعدّ Device Guard مزيجًا من ميزة التحكم في تطبيقات Windows Defender والحماية القائمة على المحاكاة الافتراضية لسلامة التعليمات البرمجية (Windows 10)" . 11 يوليو 2023.
- ↑ ديلوغري، غيوم (21-11-2010). عكس هندسة البرامج الثابتة لجهاز برودكوم نت إكستريم (ملف PDF) . hack.lu. Sogeti. مؤرشف من الأصل (ملف PDF) بتاريخ 25-04-2012 . تم الاطلاع عليه بتاريخ 25-11-2010 .
- ١ ٢ "فريق قرصنة يستخدم برنامج تجسس UEFI BIOS لإبقاء عميل RCS 9 في الأنظمة المستهدفة - مدونة TrendLabs لأمن المعلومات" . ١٣ يوليو ٢٠١٥. مؤرشف من الأصل في ٢٣ يوليو ٢٠١٥. تم الاطلاع عليه في ١٥ يوليو ٢٠١٥ .
- ↑ هيسمان، جون (25 يناير 2006). تنفيذ وكشف روتكيت ACPI BIOS (ملف PDF) . مؤتمر بلاك هات الفيدرالي 2006. شركة NGS للاستشارات. مؤرشف (ملف PDF) من الأصل بتاريخ 27 فبراير 2011. تاريخ الاسترجاع: 21 نوفمبر 2010 .
- ↑ هيسمان، جون (15 نوفمبر 2006). "تنفيذ وكشف برمجيات التجسس PCI Rootkit" (ملف PDF) . برمجيات أمن الجيل التالي. CiteSeerX : 10.1.1.89.7305 . تاريخ الاسترجاع: 13 نوفمبر 2010 .
- ↑ مودين، أوستن (10 أكتوبر 2008). "الجريمة المنظمة تتلاعب بأجهزة تمرير البطاقات الأوروبية: بيانات العملاء تُنقل إلى الخارج" . ذا ريجستر . سيتويشن بابليشينغ. مؤرشف من الأصل في 13 أكتوبر 2008. تم الاطلاع عليه في 13 أكتوبر 2008 .
- ↑ ساكو، أنيبال؛ أورتيغا، ألفريدو (2009). عدوى BIOS المستمرة (ملف PDF) . مؤتمر CanSecWest 2009. تقنيات الأمن الأساسية. مؤرشف من الأصل (ملف PDF) بتاريخ 8 يوليو 2011. تم الاطلاع عليه بتاريخ 21 نوفمبر 2010 .
- ↑ غودين، دان (24 مارس 2009). "برامج التجسس المتطورة تنجو من مسح القرص الصلب" . ذا ريجستر . سيتويشن بابليشينغ . تم الاسترجاع في 25 مارس 2009 .
- ↑ ساكو، أنيبال؛ أورتيغا، ألفريدو (1 يونيو 2009). "عدوى BIOS المستمرة: من يبادر بالعلاج يحصل على ما يريد" . فراك . 66 (7). مؤرشف من الأصل في 20 فبراير 2026. تم الاسترجاع في 20 فبراير 2026 .
- ^ ريك فيلر (2007). الجذور الخفية المهنية . جون وايلي وأولاده. ص. 244. ردمك 9780470149546.
- ↑ ماتروسوف، ألكسندر؛ روديونوف، يوجين (25-06-2010). "TDL3: أداة التجسس لكل الشرور؟" (ملف PDF) . موسكو: ESET . ص 3. مؤرشف من الأصل (ملف PDF) بتاريخ 13-05-2011 . تم الاطلاع عليه بتاريخ 17-08-2010 .
- ↑ ماتروسوف، ألكسندر؛ روديونوف، يوجين (27-06-2011). "تطور لغة TDL: التغلب على x64" (ملف PDF) . ESET . مؤرشف من الأصل (ملف PDF) بتاريخ 29-07-2015 . تم الاطلاع عليه بتاريخ 08-08-2011 .
- ↑ جاتلان، سيرجيو (6 مايو 2021). "استخدام برنامج موريا الخبيث الجديد على نطاق واسع لاختراق أنظمة ويندوز" . بليبينغ كمبيوتر . تم الاطلاع عليه بتاريخ 24 يوليو 2021 .
- ↑ بروملي، ديفيد (16-11-1999)، "المتسللون الخفيون: برامج التجسس الخفية في الممارسة العملية" (ملف PDF) ، تسجيل الدخول ، جمعية USENIX، الصفحات 27-29 ، تاريخ الاسترجاع 27-08-2007
- 1 2 3 4 5 ديفيس، مايكل أ.؛ بودمر، شون؛ ليماسترز، آرون (2009-09-03). "الفصل 10: اكتشاف برامج التجسس الخفية" (ملف PDF) . اختراق البرامج الضارة وبرامج التجسس الخفية: أسرار وحلول أمنية للبرامج الضارة وبرامج التجسس الخفية . نيويورك: ماكجرو هيل بروفيشنال. ISBN 978-0-07-159118-8أُرشف من النسخة الأصلية (PDF) بتاريخ 8 مارس 2012. تم الاطلاع عليه بتاريخ 14 أغسطس 2010 .
- ↑ ترلوكوم (5 يوليو 2006). "التغلب على برامج التجسس الخفية وبرامج تسجيل ضغطات المفاتيح" (ملف PDF) . ترلوكوم. مؤرشف من النسخة الأصلية (ملف PDF) بتاريخ 17 يوليو 2011. تم الاطلاع عليه بتاريخ 17 أغسطس 2010 .
- ^ داي زوفي، دينو (2011). "جذور النواة" . مؤرشفة من الأصلي في 10 أيلول (سبتمبر) 2012 . تم الاسترجاع في 13 سبتمبر 2012 .
- ↑ "Zeppoo" . SourceForge . 18 يوليو 2009. تم الاطلاع عليه بتاريخ 8 أغسطس 2011 .
- ↑ كوجسويل، برايس؛ روسينوفيتش، مارك (1 نوفمبر 2006). "RootkitRevealer v1.71" . مايكروسوفت . مؤرشف من الأصل في 1 يوليو 2017. تم الاطلاع عليه في 13 نوفمبر 2010 .
- ↑ "Rootkit & Anti-rootkit" . تم الاطلاع عليه بتاريخ 13 سبتمبر 2017 .
- ↑ "برنامج Sophos لمكافحة برامج التجسس" . Sophos . مؤرشف من الأصل بتاريخ 19-11-2012 . تم الاطلاع عليه بتاريخ 20-02-2026 .
- ↑ "BlackLight" . F-Secure . مؤرشف من الأصل بتاريخ 2011-01-01 . تم الاطلاع عليه بتاريخ 2026-02-21 .
- ↑ "Radix Anti-Rootkit" . usec.at. مؤرشف من الأصل بتاريخ 2022-07-03 . تم الاطلاع عليه بتاريخ 2026-02-21 .
- ↑ "GMER" . مؤرشف من الأصل بتاريخ 16-02-2026 . تم الاطلاع عليه بتاريخ 21-02-2026 .
- ↑ هاريمان، جوش (19 أكتوبر 2007). "منهجية اختبار فعالية إزالة برامج التجسس الخفية" (ملف PDF) . دبلن، أيرلندا: قسم الاستجابة الأمنية في سيمانتك. مؤرشف من النسخة الأصلية (ملف PDF) بتاريخ 7 أكتوبر 2009. تاريخ الاطلاع: 17 أغسطس 2010 .
- ↑ كويبوتاريو، ميرسيا (12 فبراير 2010). "Tidserv وMS10-015" . سيمانتك . تم الاطلاع عليه بتاريخ 19 أغسطس 2010 .
- ↑ "مشاكل إعادة التشغيل بعد تثبيت MS10-015" . مايكروسوفت . 11 فبراير 2010. تم الاطلاع عليه بتاريخ 5 أكتوبر 2010 .
- ↑ شتاينبرغ، جوزيف (9 يونيو 2021). "ما تحتاج معرفته عن برامج تسجيل ضغطات المفاتيح" . bestantivirus.com . مؤرشف من الأصل في 4 يونيو 2023. تم الاطلاع عليه في 24 يوليو 2021 .
- ↑ "كشف برنامج Strider GhostBuster Rootkit" . أبحاث مايكروسوفت. 28 يناير 2010. مؤرشف من الأصل في 7 يوليو 2016. تم الاطلاع عليه في 21 فبراير 2026 .
- ↑ "توقيع الكود والتحقق منه باستخدام Authenticode" . مايكروسوفت . مؤرشف من الأصل بتاريخ 29-12-2008 . تم الاطلاع عليه بتاريخ 15-09-2008 .
- ↑ "إيقاف برامج التجسس الخفية على حافة الشبكة" (ملف PDF) . بيفرتون، أوريغون: مجموعة الحوسبة الموثوقة . يناير 2017. تم الاطلاع عليه بتاريخ 11 يوليو 2008 .
- ↑ "مواصفات التنفيذ الخاصة بـ TCG PC، الإصدار 1.1" (ملف PDF) . مجموعة الحوسبة الموثوقة . 18 أغسطس 2003. مؤرشف (ملف PDF) من الأصل بتاريخ 28 سبتمبر 2011. تم الاطلاع عليه بتاريخ 22 نوفمبر 2010 .
- ↑ "كيفية إنشاء ملف تفريغ كامل للأعطال أو ملف تفريغ لأعطال النواة باستخدام NMI على نظام يعمل بنظام ويندوز" . مايكروسوفت . مؤرشف من الأصل بتاريخ 24 مارس 2015. تم الاطلاع عليه بتاريخ 13 نوفمبر 2010 .
- ↑ سيشادري، أرفيند؛ وآخرون (2005). "الرائد". وقائع ندوة ACM العشرين حول مبادئ أنظمة التشغيل . جامعة كارنيجي ميلون . ص 1-16 . doi : 10.1145/1095810.1095812 . ISBN 1595930795. S2CID 9960430 .
- ↑ ديلارد، كورت (2005-08-03). "معركة الروتكيت: كاشف الروتكيت ضد هاكر ديفندر" . مؤرشف من الأصل في 2014-02-13 . تم الاسترجاع في 2026-02-21 .
- ↑ «تساعد أداة إزالة البرامج الضارة من مايكروسوفت ويندوز في إزالة برامج ضارة محددة وشائعة من أجهزة الكمبيوتر التي تعمل بنظام التشغيل ويندوز 7 أو ويندوز فيستا أو ويندوز سيرفر 2003 أو ويندوز سيرفر 2008 أو ويندوز إكس بي» . مايكروسوفت . 14 سبتمبر 2010. مؤرشف من الأصل في 30 ديسمبر 2016. تم الاطلاع عليه في 16 مايو 2016 .
- ↑ بيتاني، أندرو؛ هالسي، مايك (2017). استكشاف أخطاء فيروسات وبرامج ويندوز الخبيثة وإصلاحها . أبريس. ص 17. ISBN 9781484226070– عبر كتب جوجل .
- ↑ هولتكوست، ستيف (30 أبريل 2007). "برامج التجسس الخفية: التهديد المؤسسي الكبير القادم؟" . إنفوورلد . مؤرشف من الأصل في 26 سبتمبر 2015. تم الاطلاع عليه في 21 نوفمبر 2010 .
- ↑ "مراقبة أمنية: برامج التجسس الخفية للمتعة والربح" . مراجعات CNET. ١٩ يناير ٢٠٠٧. مؤرشف من الأصل في ٨ أكتوبر ٢٠١٢. تم الاطلاع عليه في ٧ أبريل ٢٠٠٩ .
- ↑ بورت، جولي (29 سبتمبر 2007). "ست طرق لمكافحة شبكات الروبوتات" . بي سي وورلد . سان فرانسيسكو: بي سي وورلد كوميونيكيشنز. مؤرشف من الأصل في 11 أكتوبر 2012. تم الاطلاع عليه في 7 أبريل 2009 .
- ↑ هوانغ، ميمي (2006-11-02). "التعامل مع التهديدات الأمنية الخطيرة اليوم: برامج التجسس الخفية" . سيمانتك كونكت . سيمانتك . مؤرشف من الأصل في 2021-07-26 . تم الاطلاع عليه في 2010-11-21 .
- 1 2 دانسيليو، مايك؛ بيلي، توني (2005-10-06). "Rootkits: هجوم القرصنة الغامض" . مايكروسوفت.
- ↑ ميسمر، إيلين (26 أغسطس 2006). "انقسام الخبراء حول اكتشاف وإزالة برامج التجسس الخفية" . NetworkWorld.com . فرامينغهام، ماساتشوستس: IDG. مؤرشف من الأصل في 2 نوفمبر 2024. تم الاطلاع عليه في 15 أغسطس 2010 .
- ↑ سكوديس، إد؛ زيلتسر، ليني (2004). البرمجيات الخبيثة: مكافحة التعليمات البرمجية الخبيثة . برنتيس هول بي تي آر. ص 335. ISBN 978-0-13-101405-3.
- ↑ هانيل، جيرومي (23 يناير 2003). "أدوات التجسس على نظام لينكس للمبتدئين - من الوقاية إلى الإزالة" . معهد SANS . مؤرشف من الأصل (ملف PDF) بتاريخ 24 أكتوبر 2010. تاريخ الاسترجاع: 22 نوفمبر 2010 .
- ↑ لي، يونغ-غانغ؛ تشونغ، ييه-تشينغ؛ هوانغ، كاي؛ لي، يو-جين (2021). "الجدار الافتراضي: تصفية هجمات الروتكيت لحماية وظائف نواة لينكس". معاملات IEEE في الحوسبة . 70 (10): 1640-1653 . Bibcode : 2021ITCmp..70.1640L . doi : 10.1109/TC.2020.3022023 . S2CID 226480878 .
للمزيد من القراءة
- بلوندن، بيل (2009). ترسانة الروتكيت: الهروب والتهرب في الزوايا المظلمة للنظام . ووردوير. ISBN 978-1-59822-061-2.
- هوغلوند، غريغ؛ بتلر، جيمس (2005). برامج التجسس الخفية: اختراق نواة نظام ويندوز . أديسون-ويسلي بروفيشنال. ISBN 978-0-321-29431-9.
- غرامب، إف تي؛ موريس، روبرت إتش. الأب (أكتوبر 1984). "نظام يونكس: أمن نظام تشغيل يونكس". المجلة التقنية لمختبرات إيه تي آند تي بيل . 62 (8): 1649-1672 . رمز Bibcode : 1984BSTJ...63.1649G . doi : 10.1002/j.1538-7305.1984.tb00058.x . S2CID 26877484 .
- كونغ، جوزيف (2007). تصميم BSD Rootkits . لا يوجد صحافة النشا. رقم ISBN 978-1-59327-142-8.
- فيلر، ريك (2007). أدوات الاختراق الاحترافية . وروكس. رقم ISBN 978-0-470-10154-4.
روابط خارجية
الوسائط المتعلقة ببرامج التجسس الخفية (Rootkits) على ويكيميديا كومنز
- أنواع البرامج الضارة
- برامج التجسس الخفية
- استغلال ثغرات تصعيد الامتيازات
- الهجمات المشفرة
- الحرب السيبرانية
