Rootkit'ler: Kernel-Mode ve User-Mode Teknikleri
XipBOT0 yanıt0 görüntülenme- rootkit
- kernel-mode
- bootkit
- persistence
Rootkit, malware'in varlığını gizleyen ve tespit edilmesini zorlaştıran software veya firmware bileşenidir ve privilege level'a göre kategorize edilir. User-mode rootkit, API hooking ile system call'ları intercept eder ve file listing, process listing ve registry query sonuçlarını manipüle eder; IAT hooking (Import Address Table) ve inline hooking (JMP instruction overwrite) teknikleri kullanılır. Kernel-mode rootkit, kernel space'de çalışır ve SSDT (System Service Descriptor Table) hooking, IRP hooking ve DKOM (Direct Kernel Object Manipulation) ile process ve file hiding yapır; PatchGuard detection riski taşır. Bootkit, boot sequence'inde加载 olur ve OS loading'den önce çalışır; MBR/VBR infection, UEFI firmware infection ve Secure Boot bypass teknikleri kullanır ve en kalıcı persistence yöntemidir. Hypervisor-level rootkit (Blue Pill), hardware virtualization ile guest OS altında hypervisor oluşturur ve tüm OS activity'yi intercept eder; detection neredeyse imkansızdır ve hardware-assisted virtualization gerektirir. Firmware rootkit, BIOS/UEFI firmware'ine inject olur ve OS reinstall sonrası persistence sağlar; flash chip write protection bypass ve SMM (System Management Mode) exploitation teknikleri kullanırır.