-
(E)
Rootkit:Tipo de código malicioso. Conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido. É importante ressaltar que o nome rootkit não indica que as ferramentas que o compõem são usadas para obter acesso privilegiado (root ou Administrator) em um computador, mas, sim, para manter o acesso privilegiado em um computador previamente comprometido.
-Remover evidências em arquivos de logs (mais detalhes na Seção 7.6 do Capítulo Mecanismos de segurança);
-Instalar outros códigos maliciosos, como backdoors, para assegurar o acesso futuro ao computador infectado;
-Esconder atividades e informações, como arquivos, diretórios, processos, chaves de registro, conexões de rede, etc;
-Mapear potenciais vulnerabilidades em outros computadores, por meio de varreduras na rede;
-Capturar informações da rede onde o computador comprometido está localizado, pela interceptação de tráfego.
http://cartilha.cert.br/malware/
-
.Errado.
O Rootkit é a "proteção" para outros malwares. Oculta ataques, limpa registros de invasores com a intenção do ataque durar mais!
-
Rootkits podem atuar em dois níveis:
a. Em nível de usuário: um bom antivírus pode pegá-lo.
b. Em nível de kernel: muito difícil de detectá-lo.
-> Uma forma de pegá-lo pode ser através de hashs para verificação de integridade;
-> Mas um é muito sofisticado!! De fato, pode ser removido com antivírus especializados que analisam a integridade dos arquivos relativos ao núcleo do SO.
Os sistemas operacionais estão evoluindo para contrariar a ameaça dos rootkits em modo kernel. Por exemplo, as edições de 64 bits do Microsoft Windows agora implementam a assinatura obrigatória de todos os drivers do nível do kernel para tornar mais difícil o código não confiável para executar com os privilégios mais altos em um sistema.
-
O U T R A Q U E S T Ã O
(Q350360) Ano: 2013 Banca: CESPE Órgão: PC-DF Prova: Escrivão de Polícia.
Rootkit é um tipo de praga virtual de difícil detecção, visto que é ativado antes que o sistema operacional tenha sido completamente inicializado. (C)
R E S U M O
Cartilha CERT.BR:
4.7 Rootkit
Rootkit é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido.
O conjunto de programas e técnicas fornecido pelos rootkits pode ser usado para:
- Remover evidências em arquivos de logs (mais detalhes na Seção 7.6 do Capítulo Mecanismos de segurança);
- Instalar outros códigos maliciosos, como backdoors, para assegurar o acesso futuro ao computador infectado;
- Esconder atividades e informações, como arquivos, diretórios, processos, chaves de registro, conexões de rede, etc;
- Mapear potenciais vulnerabilidades em outros computadores, por meio de varreduras na rede;
- Capturar informações da rede onde o computador comprometido está localizado, pela interceptação de tráfego.
-
Rootkit: Difícil detecção e faz um belo estrago.
-
Um exemplo apenas didático que nunca esqueci, em analogia a função dele é como se fosse a do fogueteiro para o tráfico. Ele sinaliza quando a Polícia (antivirus) estão chegando e se escondem também. Lembrar dele como o FOGUETEIRO. Créditos Professor Ranielison.
-
ERRADO
Rootkit é um software malicioso que permite o acesso a um computador enquanto oculta a sua atividade. Originalmente o rootkit era uma coleção de ferramentas que habilitavam acesso a nível de administrador para um computador ou uma rede. Uma das propostas desse programa é o uso para ocultar específicos processos e arquivos para algumas partes do sistema.
-
ERRADO
O ROOTKIT é um dos tipos de malware mais sofisticados que existem atualmente no mercado. Por anos, as soluções de segurança têm lutado contra a sua detecção e remoção, principalmente porque os rootkits comprometem o sistema operacional em um nível tão profundo que podem camuflar sua presença tanto das soluções antimalware quanto do próprio sistema operacional.
-
Rootkits a nivel de kernel são muito difíceis de serem detectados pelos antivírus. Gabarito Errado
-
Modo de Ativação: Os rootkits são ativados antes que o sistema operacional do computador esteja totalmente iniciado, renomeando arquivos de sistema, o que torna difícil sua remoção. Eles são normalmente utilizados para instalar arquivos ocultos, que servem para interceptar e redirecionar dados privados para o computador de quem criou o malware.
___
Questão Cespiana:
↳ Rootkit é um tipo de praga virtual de difícil detecção, visto que é ativado antes que o sistema operacional tenha sido completamente inicializado. (CERTO)
► Suas atividades permanecem ocultas no computador e podem ser instaladas de forma remota.
[...]
QUANTO À SUA REMOÇÃO
↳ A remoção pode ser complicada ou praticamente impossível, especialmente nos casos em que o rootkit reside no kernel.
↳ Ele é capaz de subverter o software (qualquer ferramenta de segurança) que se destina a encontrá-lo.
Mesmo que o malware seja removido, os problemas causados por ele persistirão.
---
Questões Cespianas:
1} Um rootkit se esconde com profundidade no sistema operacional, sendo sua remoção uma tarefa difícil, já que, na maioria dos casos, danifica o sistema. (CERTO)
2} Se um rootkit for removido de um sistema operacional, esse sistema não voltará à sua condição original, pois as mudanças nele implementadas pelo rootkit permanecerão ativas. (CERTO)
3} Os rootkits, não somente podem esconder a existência de certos processos ou programas de métodos normais de detecção, mas também permitir uso contínuo com acesso privilegiado a determinado recurso. (CERTO)
[...]
Importante! ☛ O nome rootkit não indica que os programas e as técnicas que o compõe são usadas para obter acesso privilegiado a um computador, mas sim para mantê-lo.
(CESPE, 2013) Rootkit é um programa que instala novos códigos maliciosos, para assegurar acesso futuro em um computador infectado, e remove evidências em arquivos de logs. (CERTO)
(CESPE, 2017) Rootkit, é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido. (CERTO)
[...]
Bons Estudos!!!
-
Rootkit - Tipo de código malicioso. Conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido. É importante ressaltar que o nome rootkit não indica que as ferramentas que o compõem são usadas para obter acesso privilegiado (root ou Administrator) em um computador, mas, sim, para manter o acesso privilegiado em um computador previamente comprometido.
Vulgo - "Fogueteiro"
https://cartilha.cert.br/glossario/#r
-
Dois erros:
- Não é usado para OBTER o controle e sim para MANTÊ-LO
- É de difícil detecção
-
GABARITO ERRADO
Rootkit (camaleão): conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido. É ativado antes que o sistema operacional tenha sido completamente inicializado e mesmo após removido, as configurações feitas por ele no sistema permanecem.
FONTE: Cartilha.cert.br, meus resumos.
"Só vive o propósito quem suporta o processo".
-
Gabarito: errado
(CESPE/CEBRASPE/2016) Um rootkit é uma ferramenta que manipula recursos do sistema operacional para manter suas atividades indetectáveis por mecanismos tradicionais, podendo, ainda, operar no nível de kernel do sistema operacional.(certo)
(2015/TJ-DFT/Analista TI) Os rootkits, não somente podem esconder a existência de certos processos ou programas de métodos normais de detecção, mas também permitir uso contínuo com acesso privilegiado a determinado recurso. CERTO
(2017/FCC-TRT/7°R) Rootkit, é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido. CERTO
(2013/PCDF/Escrivão) Rootkit é um tipo de praga virtual de difícil detecção, visto que é ativado antes que o sistema operacional tenha sido completamente inicializado. CERTO
(CESPE/CEBRASPE/2018)Se um rootkit for removido de um sistema operacional, esse sistema não voltará à sua condição original, pois as mudanças nele implementadas pelo rootkit permanecerão ativas.(certo)