Rootkitler yani işletim sistemine entegre yanlız sistem takip yazılımları, antivirüs ve güvenlik araçları ile görülmesi zor kodların bir bütününe verilen isim. Rootkit tanımı microsoft'tan çok daha önceleri Linux'da yaygınlardı (ve hala yaygınlar). Bu araçları sisteme konuşlandıran bir Attacker, görülmez, hissedilmez backdoorlar oluşturabiliyorlar. Buradaki tanımdan sisteme giriş ile sisteme kodu işler hale getirme arasındaki farkı hemen görebilirsiniz. Yani bir rootkit'in sisteme kurulması için bilinen başka bir açığı taşımanız gerekli yada sizin programı kurmanız gerekli (başka bir program aracılığı ile) bundan sonra kodun insiyatifine kalacaksınız! Ne kadar dikkatli olsanızda kurulması muhtemel ve bulunması güç, çünkü bu programlar sistemde bulunan işletim sistemi kaynakları ile paralel bir haberleşme yapmayı ve kendi soket bağlantı kodlarını yanında getirebiliyorlar (Örneğin Port knocking gibi bilinen teknikleri dinleyen mantığı kullanabiliyor ve 8,67,82,82 gibi arka arkaya girilen portları dinleyerek sistemi karşıya belirli bir porttan açabiliyorlar... Ancak bu tekniği rootkitler ile rootkitleride bu teknikle sınırlanabileceğini düşünmeyin).
Çoğu uzman Rootkitlerin Sysinternals (yeni adıyla winternals) programları gibi (Filemon, Regmon, TCPview, ProcessXP,...) sistemi takip eden programlar ile gözlemlenemiyeceğinde hem fikir ve çoğu güvenlik aracının bulamayacağında. Bu konuda kendine en fazla güvenen firma F-Secure. F-Secure bu kodları yakalamak için "Blacklight" adından ayrı bir projesi var. PC'nizde rootkit olup olmadığını rootkit ile deneyebilirsiniz (ne kadar işe yarayacağını bilmek ! her zamanki gibi mümkün değil.)
Download Adresleri:
Arayüzlü: https://europe.f-secure.com/exclude/blacklight/blbeta.exe
Komut Satırı versiyonu : https://europe.f-secure.com/exclude/blacklight/blbetac.exe
Site : http://www.f-secure.com/blacklight/