مثال تطبيقي ل RootKit - في هذا الموضوع سنناقش مفهوم rootkit لأنه بدأ ينتشر في عدة مجالات أهمها الأمن والحماية وكما تلاحظ فإن اخطر الفايروسات تستخدم هذة الطريقة للتخفي وظهرت عدة شركات تستخدمها في الحماية ؟ مثل حماية الاقراص والملفات وبدأ إنتشار RootKit ليشمل برامج مكافحة الفايروسات - كما قلنا سابقا مفهوم rootkit يعني التخفي و الصلاحيات وهو الشكل المرئي من موضوع الامتيازات في النظام نعرف بأن أنظمة التشغيل تعمل في عدة مستويات او امتيازات لتعطي البرامج الاحقية في الوصول اما rootkit فيكم تقسيمها كالتالي 1- إخفاء Files & Folders 2- اخفاء Processes 3- اخفاء Handles 4- اخفاء Registry Keys & Values 5- اخفاء Services 6- اخفاء TCP/UDP Sockets 7- اخفاء Systray Icons - وفي مثالنا تستطيع تطبيق كل هذة الامور ملاحظة: هذا المثال يعمل تحت WINDOWS NT/2000/XP/2003 - قبل ان نبدأ قم بتخزين الملف المرفق , تجد بداخلة ملف root.exe وملف readme.txt والكود المصدري الآن توجه إلى اي درايفر وليكن d وبعد ذلك اضف مجلد جديد بإسم RootKit بهذة الطريقة d:\RootKit بداخل المجلد الجديد ادخل الملف root.exe وملف readme.txt بعد ذلك اضف اي ملف تنفيذ إلى المجلد وليكن ملفtest.exe بهذة الطريقة d:\rootkit\test.exe بعد إضافة الثلاث ملفات ,,, تابع الموضوع - اولا: اخفاء الملفات والمجلدات قم بالدخول إلى المجلد d:\RootKit الآن من خلال الدوس او من قائمة start ثم run نفذ الامر التالي D:\RootKit\root.exe /i وهو عبار عن تنفيذ برنامج root بإستخدام البارمتر i ستلاحظ ظهور المكتبة hook.dll في نفس المجلد ,هل تريد ان تعرف ما عملها - الآن اخرج من المجلدD:\RootKit يعني اغلق النوافذ الظاهرة وارجع للدسك توب الحين توجهة لل My Computer ثم الدرايفر D ؟ ماذا تلاحظ هل المجلد d:\RootKit موجود !! وين اختفى ..... تابع حاول الدخول من address bar اكتب d:\rootkit سيظهر لك مسج خطأ بأن المجلد غير موجود؟ تعرف ليش ؟ ليس للنظام نفسة احقية الوصول! بتوضيح اكثر ليس ل explorer.exe احقيه الدخول للمجلد حاول إظهار او اخفاء المجلدات ؟ حاول بالدوس بأي شيء بمستوى المستخدم ما بتقدر تدخل هذا بإختصار مفهوم اخفاء الملفات والمجلدات ,,, مع الملاحظةان المجلد مازال موجود - تابع.. اخفاء العمليات والمقابض و... الحين من خلال start ثم run او من خلال الدوس نفذ برنامج المثال الذي وضعناه بالمجلد كما يلي : D:\RootKit\test.exe سيعمل البرنامج ...لو كانت النافذة الرئيسية مخفية ( كما هو الحال في كل الفايروسات ) هل ستلاحظ وجود البرنامج ؟ توجه لل task Manager او اي برنامج مستعرض Processes لن تجد اي اثر لبرنامجنا test.exe وهكذا مع بقية خصائص الاخفاء ,,, بمجرد ادخال اي ملف او برنامج إلى مجلد d:\rootkit سيكون له امتيازات خاصة للأخفاء كل مما يلي: Files & Folders Processes Handles Registry Keys & Values Services TCP/UDP Sockets Systray Icons - تريد تتأكد من وجود الملفات!! الطريقة الوحيدة لكشفها هي بإستخدام برنامج RootkitRevealer http://www.sysintern...kitRevealer.zip كما في الصورة: