Traída de la mano de Bryce Cogswell y Mark Russinovich, podéis descargar esta herramienta de seguridad desde el sitio de SpringBoard es RootkitRevealer. RootkitRevealer permite la detección avanzada de rootkits. Los rootkits son “mecanismos y técnicas por los cuáles código mal intencionado, incluidos virus, spyware y caballos de Troya, intentan ocultar su presencia de bloqueadores de spyware, antivirus y utilidades de administración del sistema”.
RootkitRevealer permite la detección de Rootkits de los siguientes tipos:
-
Rootkits persistentes: Generalmente este tipo de rootkit esta asociado con código mal intencionado que se ejecuta cada vez que se produce un inicio del sistema, por lo que se almacena de forma persistente, generalmente en el registro o el sistema de archivos.
-
Rootkits de modo usuario: Este tipo de rootkit suelen interceptar las llamadas las API de Windows, como por ejemplo las API que utilizan las utilidades de exploración del sistema de archivos (como por ejemplo el explorador), para enumerar el contenido de los directorios. Cuando una aplicación realiza una lista de directorios que normalmente devolvería resultados que contienen entradas identificando archivos asociados con el rootkit, el rootkit intercepta y modifica la salida para eliminar las entradas.
“La API nativa de Windows sirve como interfaz entre clientes de modo de usuario y servicios de modo núcleo y los rootkits más sofisticados de modo de usuario interceptan funciones de enumeración del sistema de archivos, registro y procesos de la API nativa. Esto evita su detección por parte de analizadores, que comparan los resultados de la enumeración de una API de Windows con los devueltos por la enumeración de una API nativa”.
-
Rootkits de modo núcleo: Aun son más peligrosos que los de modo usuario, ya que también pueden manipular directamente estructuras de datos de modo núcleo, lo que permite ocultar la presencia de un proceso de código mal intencionado (quitando el proceso de la lista de procesos activos del núcleo), siendo invisible para el administrador de tareas o el explorador de procesos.
- Rootkits basados en memoria: Contienen código mal intencionado no persistente y por tanto no sobreviven a reinicios del sistema.
“Debido a que los rootkits persistentes funcionan cambiando los resultados de la API para que la vista de sistema que usan las API difiera de la vista real en almacenamiento, RootkitRevealer compara los resultados de un análisis de sistema en el nivel más alto con los del nivel más bajo. El nivel más alto es la API de Windows y el nivel más bajo son los contenidos sin procesar de un volumen del sistema de archivos o de un subárbol del Registro (un archivo de subárbol es el formato de almacenamiento del registro en disco). Así, los rootkits, sean de modo de usuario o de modo núcleo, que manipulan la API de Windows o la API nativa para eliminar su presencia de una lista de directorios, serán vistos por ejemplo por RootkitRevealer como una discrepancia entre la información devuelta por la API de Windows y la obtenida por el análisis de nivel bajo de las estructuras del sistema de archivos del volumen FAT o NTFS.”
Imagen 1: Detección de HackerDefender por parte de RootkitRevealer
Recuerda que si quieres seguir recibir información sobre esta herramienta y muchas otras, no te olvides de visitar el sitio de SpringBoard Series dedicado a la plataforma de Windows 7. Si quieres aprender mucho más sobre los secretos de lo sistemas Microsoft Windows, deberías leer el libro de Sergio de los Santos "Máxima Seguridad en Windows: Secretos Técnicos" y. por último, te recordamos que si te ha gustado el artículo puedes suscribirte al Canal RSS de Windows Técnico para estar al día de las novedades e información técnica de interés.
Enviado
sep 06 2011, 03:59
por
Ruben Alonso