Кратко: Руткит — это невидимка среди вредоносных программ. Он не ворует данные сам, но создаёт идеальное укрытие для другого зла. Его задача — спрятать вирус, кейлоггер или бэкдор так, чтобы ни пользователь, ни антивирус ничего не заподозрили.

▫️Основные этапы развития: · 1990 г. — Термин Rootkit появляется в мире UNIX. Изначально это набор утилит для хакера, получившего root-доступ, чтобы “замести следы” · 1994 г. — Первое официальное упоминание в отчёте CERT-CC. Руткиты подменяют системные файлы вроде ps и netstat, чтобы скрыть процессы злоумышленника · Конец 1990-х — Технология переходит на Windows. В основе — принципы DOS-вирусов 90-х, которые умели себя прятать (stealth-вирусы) · 2005 г. — Взрыв популярности. Greg Hoglund создаёт NT Rootkit и сайт rootkit.com — культовое место для исследователей · 2005–2006 гг. — Скандал Sony BMG: музыкальные диски Sony устанавливали руткит для защиты от копирования, который открывал систему для других вирусов. Мир узнал, что rootkit — это не только про хакеров · 2010-е — Эра bootkits: руткиты уходят в загрузчик (TDL, Alureon). Они запускаются ещё до загрузки Windows, убить их почти невозможно · 2020–2025 гг. — Руткиты для UEFI и виртуализации. Атаки на прошивки и аппаратные уровни становятся реальностью

▫️Как работает (простыми словами): · Перехват API (User-mode) — руткит внедряется в программы и подменяет функции Windows. Когда диспетчер задач запрашивает список процессов, руткит отвечает: “вот список, только без меня”

· Уровень ядра (Kernel-mode) — глубже, опаснее. Руткит правит таблицы системных вызовов (SSDT) или структуры ядра. Даже антивирусы смотрят на систему его “глазами”

· DKOM (Direct Kernel Object Manipulation) — руткит FU просто выдёргивает процесс из связного списка активных процессов. Процесс есть, он работает, но его никто не видит

· Заражение загрузчика — руткит прописывается в MBR или UEFI. Он загружается раньше Windows и подменяет систему ещё до старта защиты

▫️Культурный феномен: · “Идеальный сталкер” цифрового мира — его не видно, но он всегда рядом · Скандал Sony DRM показал: rootkit может прийти даже с легальным диском из магазина · Символ гонки вооружений в IT: антивирусы учатся искать руткиты, руткиты учатся прятаться от антивирусов · Хакерский шик — написать руткит, который не видит никто

▫️Современное положение: · Руткиты стали сложнее: уходят в UEFI, гипервизоры (виртуализация), прячутся в прошивках · Обнаружить можно только “извне” — загрузившись с чистой флешки и сравнив списки процессов · Антивирусы обзавелись модулями антируткит, но zero-day всё ещё опасны · Используются не только хакерами, но и спецслужбами (легальная слежка)

#руткит #безопасность #история #хакеры #вирусы