ภัยคุกคามที่มองไม่ เห็น (Invisible Threat)
ภัยคุกคามเป็นเรื่องต้องระวังอยู่ตลอดเวลา พูดง่ายๆว่าต้องมีสติในการใช้งาน ครั้งนี้ผมจะกล่าวถึงภัยคุกคามชนิดหนึ่ง ที่มองด้วยตาเปล่าไม่เห็น เป็นภัยคุกคามบนระบบคอมพิวเตอร์นี้เองครับ และเป็นศัพท์เทคนิคที่หลายคนยังสับสนอยู่ว่าคืออะไรกันแน่ “Root Kit” โดยผมแบ่งหัวข้อไว้ดังนี้
1.ชนิดของ Rootkit
2.การตรวจหา rootkit
3.การกำจัด rootkit
4.ความแตกต่างของ Rootkit ไวรัสคอมพิวเตอร์และเวิร์ม
5. rootkit ที่ดาวน์โหลดได้ในอินเทอร์เน็ต
1. ชนิดของ rootkit
rootkit มีสามแบบด้วยกันคือ rootkit ในระดับ kernel, library และ application ในระดับ kernel rootkit เพิ่มโค้ดและ/หรือแทนที่บางส่วนของโค้ดของ kernel ด้วยโค้ดที่แก้ไขแล้วเพื่อช่วยในการซ่อน backdoor ในระบบคอมพิวเตอร์ มักทำโดยการเพิ่มโค้ดใหม่เข้าไปใน kernel ผ่านทาง device driver หรือ loadable module เช่น Loadable Kernel Modules ในลีนุกซ์หรือ device drivers ในไมโครซอฟท์วินโดวส์ โดยทั่วไป kernel rootkit จะ แก้ไขหรือแทนที่ system calls ด้วยเวอร์ชั่นที่ซ่อนข้อมูลเกี่ยวกับผู้โจมตี ส่วน rootkit ในระดับ application อาจแทนที่ไฟล์ไบนารีของ application ด้วยไฟล์ปลอมที่ซ่อนโทรจันไว้ หรืออาจแก้ไขการทำงานของ application โดยใช้ hook, patch, inject code หรือวิธีอื่น ๆ rootkit ในระดับ kernel อาจมีอันตรายมากเนื่องจากตรวจพบได้ยากถ้าไม่ได้ใช้ซอฟท์แวร์ที่เหมาะสมเพื่อ ค้นหา
อ่านต่อได้ที่ http://nontawattalk.blogspot.com/2008/01/invisible-threat.html
