Rootkit revealer

By :Kelompok 8

Nama Kelompok

• Tri Subagti• Yovie Widianto• Yulian Nur. E. S• Tiaer Pribadi• Zuli Musholikhin

Pengertian Rootkit Revealer

Suatu RootKit adalah satu program (atau koleksi dari beberapa program) didisain untuk mengambil inti kontrol dari satu mesin

komputer, tanpa otorisasi oleh pemiliknya sistem dan manajer sah. Secara khas

ini mengerjakan menyelubungi teknologi dan satu Rootkits berulah mengaburkan buat-buatannya pada sistem dengan

menyamar buat-buatan ini dari jaminan sekuritas sistem operasi mekanisme. Sering, mereka membawa Trojans juga, pengguna dengan demikian kelabuh ke dalam percaya mereka selamat untuk

berlari pada sistem mereka. Ilmu pengetahuan tentang teknik biasanya memenuhi ini dapat meliputi

rahasia proses berlari dari program memonitor, atau file sembunyi, data proses atau sistem dari sistem operasi.

Rootkits juga dinamakan sebab mereka mengijinkan satu penceroboh untuk menjadi satu pengguna akar (dengan kata lain, pengurus sistem) dari satu tidak ix. sistem. Sejak itu, perangkat lunak serupa telah dikembangkan untuk sistem operasi lain, dan masa rootkit telah diluaskan untuk meliputi apapun perangkat lunak yang dengan diam-diam mengubah satu sistem operasi sangat itu satu pengguna tidak syah dapat ambil kontrol berubah-ubah dari sistem. Rootkits jadi banyak lebih baik mengetahui pada 2005, ketika Sony BMG menyebabkan satu perbuatan memalukan dengan meliputi perangkat lunak RootKit pada CDs musik yang diubah Windows OS untuk mengijinkan akses ke siapapun sadar akan instalasi Rootkits. Menurut dugaan, ini dilakukan ke menguatkan perlindungan salinan dari musik pada CDs. Untuk mengejar Rootkits kita yang harus fokuskan pada konsep Rootkits mempergunakan selubungi atau menyamar diri mereka sendiri. Bagaimanapun kita akan lihat kepada ini dari segi pandangan dari satu OS Windows (x86 atau x64)

Pelacakan RootKit dan pembersihan

Mendeteksi Rootkits di keadaan ini sungguh tabah tapi di situ adalah beberapa ilmu pengetahuan tentang teknik berbeda itu dapat berpotensi menjadi terpakai. Sesuatu bagaimanapun baru juga dikembangkan. Tidak ada bagaimanapun, sempurnakan. Untuk persulit persoalan, Pengembang RootKit adalah sadar akan ilmu pengetahuan tentang teknik ini dan secara konstan berkembang produk mereka untuk menghindarkan pelacakan lagi kiat. Mereka menandai RootKit revealer berjalan dan pada waktu mereka mendeteksi bahwa satu aplikasi AntiRootkit telah dinyalakan yang mana berada di dalam mereka

daftar, mereka menjatuhkan perisai mereka dan melepas kaitan diri mereka sendiri. Alasan menjadi, Pembukaan rahasia aplikasi RootKit pekerjaan pada dasarnya pada sesuatu prinsip. Mereka mengambil satu image dari daging buah nyata struktur data dan bandingkan ini dengan image yang mereka peroleh melalui itu APIs. Pada waktu di situ adalah satu keganjilan, mereka dapat menggambarkan keluar itu beberapa seadanya punyai terjadi pada modul daging buah yaitu menyebabkan kelainan ini dan proses atau masukan tidak memperlihatkan pada API Yang menghasilkan image sebenarnya menyembunyikan buat-buatan ini. Karenanya, untuk menghindari semakin terdeteksi oleh cara ini, Rootkits diri mereka sendiri punyai perluas bertingkat mereka dari inteligen, dengan demikian menjatuhkan jaga kapanpun di situ adalah satu aplikasi AntiRootkit berlari pada sistem, kemudian pembuatan diri mereka sendiri tampak lagi.

Berikut contoh – contoh kemampuankan Rootkit Revealer :

•Menyembunyikan proses•Menyembunyikan file dan folder•Menyembunyikan registry•Menyembunyikan service dan masih banyak lagi

Kehebatan Rootkit, misalnya ketika Anda menyembunyikan file menggunakan Rootkit, maka windows tidak akan menganggap file yang disembunyikan memakai space pada harddisk dan tidak akan dapat dicari menggunakan “search for files or folders”….

Bagaimana cara kerja Rootkit?

Rootkit bekerja dengan men-patch atau men-inject Windows API. Misalnya dengan menambah 5 bytes pertama pada API dengan 32bit offset perintah jmp. Untuk lebih jelasnya tentang cara kerja rootkit, Anda dapat membaca “Executing arbitary code in a choosen proccess (or advanced dll injection)”