SóProvas

ID
1209214
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Sistemas Operacionais
Assuntos

Julgue os próximos itens no que se refere a rootkits em user-level e kernel-level.

Um rootkit em user-level normalmente possui baixo nível de privilégio. Dependendo de como foi implementado, esse tipo de rootkit pode ser persistente ou não.

Alternativas
Comentários

  • Rootkits persistentes

    Um rootkit persistente é um tipo que continuamente altera seu código para que possa se anexar em um arquivo de registro e permanecer oculto. Toda vez que você reiniciar seu computador, um novo código será gerado para manter o vírus ativo no servidor.


    http://www.ehow.com.br/arquivo-oculto-rootkit-fatos_19221/

  • Gabarito Certo

    Rootkit persistentes

    Um rootkit persistente está associado a um malware que se activa cada vez que o sistema é iniciado. Normalmente para se conseguir iniciar automaticamente (sem intervenção do utilizador), o malware tem de armazenar de forma persistente o código que vai ser despoletado no processo de arranque do sistema operativo ou no processo de início de sessão. Tipicamente são usados simples ficheiros e/ou entradas no Registro.

     

    Rootkits residentes em memória

    São malwares que se alojam unicamente na memória RAM e como tal não conseguem sobreviver ao processo de arranque do computador, ou seja, não são persistentes.

     

    Rootkits baseados no User-Mode

    Na arquitectura Windows uma aplicação pode ser executada em dois contextos: o contexto do utilizador (user-mode), onde a aplicação tem acesso à camada superior dos dispositivos e herda as permissões do utilizador; e o contexto do núcleo (kernel-mode), tipicamente reservado a operações do sistema operativo.

    Os rootkits que correm no contexto do utilizador recorrem frequentemente a uma técnica “clássica” para se passarem por despercebidos: interceptar as chamadas da API do Windows que enumeram os ficheiros e pastas existentes num determinado local (FindFisrtFile e FindNextFile) e alteram o resultado, excluindo-se dessa listagem. Apesar de simples, é brilhante pois este pequeno truque consegue de facto tornar o malware invisível ao utilizador final e às aplicações de antivírus.

     

    Rootkits baseados no Kernel-Mode

    Os rootkits desta espécie são ainda mais poderosos uma vez que conseguem interceptar todas as chamadas nativas à API do núcleo e conseguem acesso directo para manipular a estrutura de dados.

    O método “clássico” usado por esta categoria de rootkits é remover o processo do malware da lista de processos. Uma vez que a gestão das APIs se baseiam na lista de processos, o malware fica invisível a ferramentas como o Gestor de Tarefas ou o Process Explorer… uma vez mais, simplesmente brilhante!

    Uma vez infiltrado é impossível saber-se através do sistema operativo que o computador se encontra infectado.

     

    Vamos na fé !

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !