SóProvas

ID
2624305
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de artefatos maliciosos, julgue o item que se segue.


Rootkits executando em modo usuário são difíceis de detectar, possuem acesso irrestrito ao hardware e operam tipicamente subvertendo o fluxo de execução, ocultando-se e substituindo por código malicioso as chamadas do sistema que manipulam arquivos, processos, memória, controle de acesso e comunicações de rede.

Alternativas
Comentários

  • Rootkit é um software malicioso, programado para se ocultar no sistema e impossibilitar de ser encontrado pelo usuário ou softwares de detecção de malware como o antivírus. 

    O malware altera processos na memória a fim de quando houver a tentativa de ler o executável do rootkit, seja retornado um erro indicando a não existência do programa. Desta forma os antivírus não conseguem ler o código do malware para efetuar testes de detecção e identificar a ameaça. 

    Outra função comum é camuflar seu processo de execução o fazendo rodar como uma camada em algum processo essencial do sistema, como o Explorer no Windows. Assim não podendo ser visualizado no gerenciador de tarefas, e enganando profissionais na área de TI e sistemas de detecção menos avançados. 

  • Acesso IRRESTRITO

  • Assertiva ERRADA. 

     

    O erro é falar que um rootkit funcionando em modo usuário terá acesso irrrestrito aos recursos de hardware do computador. Se ele opera em modo usuário, ele terá acesso limitado a tudo. Apenas operando em modo administrador ele terá acesso a tudo.

  • Rootkit é um software malicioso que permite o acesso a um computador enquanto oculta a sua atividade

  • Substituam modo usuário por modo kernel que a questão fica certa.

  • Conjunto de programas que permite assegurar e manter a presença de um invasor em um computador comprometido

  • Gabrito errado

     

    Rootkit

    Tipo de código malicioso. Conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido. É importante ressaltar que o nome rootkit não indica que as ferramentas que o compõem são usadas para obter acesso privilegiado (root ou Administrator) em um computador, mas, sim, para manter o acesso privilegiado em um computador previamente comprometido.

     

    https://cartilha.cert.br/glossario/#r

  •  

    Rootkits não dão acesso irrestrito ao hardware, dão??

  • Somente a título de colaboração, corroborando o que os colegas já falaram:

     

    Conforme já citado, se trocarmos a expressão “em modo usuário” para “em modo kernel”, o item estaria perfeito.

     

    No tocante aos códigos Rootkits, podemos ter dois tipos:


    a) Nível usuário: são aqueles que executam suas atividades com os mesmos direitos e privilégios dos usuários comuns, por isso normalmente são facilmente identificados pelos antivírus.

     

    b) Nível de Kernel: esse está embutido no Kernel do sistema operacional e com ele se confunde, por isso os antivírus normalmente têm dificuldade em identificá-los. Entenda Kernel como o coração do S.O.

     


    A essência do Rootkits consiste em usar de técnicas e programas para esconder e assegurar a presença do atacante no computador comprometido. Ou seja, após o atacante invadir o computador, ele usa de técnicas e programas para que ninguém descubra que ele se encontra ali escondidinho, mocado!

     

     

    Fonte: Simulado comentado do Missão Papa Fox, com adaptações. 

  • Rootkit: É um conjunto de ferramentas criado para esconder outros malwares.


    Um Rootkit é uma ferramenta que manipula recursos do sistema operacional para manter

    suas atividades indetectáveis por mecanismos tradicionais, podendo, ainda operar no nível de

    kernel do sistema operacional.


    Se um rootkit for removido de um sistema operacional, esse sistema não voltara à sua condição original, pois as mudanças nele implementadas pelo rootkit permanecerão ativas.


  • Modo usuário e acesso irrestrito na mesma situação não combinam.

  • ROOTKIT( KIDS ) = CRIANCAS SAFADAS QUE SE ESCONDEM.

  • Rootkit é um programa que instala novos códigos maliciosos, para assegurar acesso futuro em um computador infectado, e remove evidências em arquivos de logs.

    (Principal intenção é se camuflar, p assegurar a presença no computador comprometido, impedindo que seu código seja encontrado por qualquer antivírus)

  • O erro da questão está onde, modo usuário mesmo, me ajudem por favor.

  • ROOTKIT: principal intenção é se camuflar, para assegurar a presença no computador comprometido, impedindo que seu código seja encontrado por qualquer antivírus; é ativado até mesmo antes da inicialização completa do Sistema Operacional;

  • Acho interessante que os professores do QConcursos ainda não comentaram essa questão...

  • Eu não sei PN de segurança da informação, mas sei que no modo usuário nem o dono do PC tem acesso irrestrito...

  • "Um rootkit pode ser classificado usando as seguintes características:

    Modo de usuário: Intercepta chamadas a APIs (interfaces de programação de aplicativos) e modifica resultados retornados. Por exemplo, quando uma aplicação executa uma listagem de diretório, os resultados retornados não incluem entradas que identificam os arquivos associados ao rootkit.

    Modo de kernel (núcleo): Pode interceptar chamadas a APIs nativas em modo de kernel. O rootkit também pode ocultar a presença de um processo de malware removendo-o da lista de processos ativos do kernel".

    Fonte: Segurança de Computadores, Stallings, p. 147

  •  Um rootkit é um pacote de software criado para permanecer oculto no seu computador enquanto fornece controle e acesso remotos. Os cibercriminosos usam rootkits para controlar seu computador sem seu conhecimento ou consentimento. Para definir rootkits, podemos analisar o nome.

    · “Root” é a denominação usada para os usuários que têm o controle total da máquina. Deste modo, ao juntar “root” e “kit” tem-se o kit que permite controlar de maneira absoluta o computador.

  • Quando utilizados em modo kernel é que se tornam de difícil identificação

  • Pelo que entendi, de fato são descritas características do rootkit, mas a questão está errada, uma vez que ele só poderia fazer essas coisas no modo administrador, e não no usuário. Inclusive uma das dicas de segurança da cartilha da cert é quase não usar o modo administrador, pois como usuário a atividade dos malwares é mais restrita.