Gabarito Certo
Os Rootkits de Kernel são implementados como módulos do núcleo do sistema operativo (Penasio & Marangon, 2005), também conhecidos como kernel level ou kernel mode, ocultam e modificam informações directamente no núcleo do sistema operativo. De acordo com Qian, L. H., et al. (2007) podem ser divididos em dois tipos:
Loadable Kernel Modules (LKMs), módulos maliciosos que são carregados dinamicamente no kernel do sistema operativo;
Run-time Kernel Patching, modificação de estruturas e informações do kerneldirectamente na memória do sistema operativo.
Consiste, em alocar memória no espaço de memória do kernel, encontrar a tabela de processos do sistema, interceptando e substituindo os dados que entram e saem, usando técnicas como system call hooking, inline function hooking ou code byte patching.
São difíceis de detectar e de bloquear, contudo, são removidos a cada reinício da máquina, pois residem exclusivamente na memória. É possível criar scripts que voltam a carregar a cada boot o rootkit ou alterando directamente o ficheiro binário do kernel.
"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !