RootKit Nedir ve Sistemden Nasıl Temizlenir?

Kaç Tür Rootkit Vardır

Temelde iki tür rootkit bulunmaktadır. Bunlar sistemdeki etkilerine, sistemde kalıcı olup olmadıklarına göre iki ana gruba ayrılabilirler.

1-) Kullanıcı Aracılı Rootkitler
a-) Kalıcı Olanlar (Sistem yeniden başlatılsa bile kendisi ve etkisi ortadan kalkmayan)
b-) Kalıcı Olmayanlar (Sistem yeniden başlatıldığında kendisi ve etkisi ortadan kalkan)
2-) Çekirdek (Kernel) Aracılı Rootkitler
a-) Kalıcı Olanlar
b-) Kalıcı Olmayanlar

Bunlardan Kullanıcı Rootkileri, Kernel Rootkitlerinden daha az zararlıdır ve etkileri sadece bulaştıkları kullanıcı hesabı ile sınırlıdır.

Kullanıcı Aracılı Rootkitler

Bunlar zararlı işlemleri yapmak ve işletim sisteminden istekte bulunmak için API (application programming interface) kullanmak durumundadırlar. Bu API istekleri Kernel’e doğrudan ulaşmaz ve DLL (Dynamic Link Libraries) olarak bilinen dosyalara uğramak durumundadır. Bu DLL dosyaları API isteklerini kernel’in anlayabileceği
şekilde düzenler ve istek gerçekleştirilir. Gördüğünüz gibi bu seviyede doğrudan kernele erişim bulunmamakta ve aracı kullanılmaktadır.

Kernel Aracılı Rootkitler

Kernel, işletim sisteminin beyni ve en temel parçası olarak değerlendirilebilir. Tüm yazılımlar bir şekilde kernel ile iletişim halinde olmalıdır ve bu kadar öneme sahip olan bir bölüme rootkit yazılımılarının doğrudan erişimi çok tehlikelidir. Bu alanda bulunan bir rootkit sistemin tüm kontrolünü elinde tutabilir. Ancak Kernel Aracılı Rootkitler kendilerini daha çok sistem hatası vermeleri ile belli edebilirler. Yani sistem kararsız duruma gelir ve çoğu zaman hata vermeye başlar.

Kalıcı Olanlar

Bir rootikin işletim sistemini yeniden başlatmadan kurtulmasının ve bu sayede kalıcı olmasının nedeni şu şeklide açıklanabilir; rootkit sistemde yani sabit diskte bir yerde bulunmakta ve kayıt defterinde otomatik başlatma girişi eklemektedir. Bu sayede kendisini hafızaya atabilmekte ve sistem her yeniden başlatıldığında kontrolü eline alabilmektedir.

Kalıcı Olmayanlar

Bu tür rootkiler sadece hafızada çalışır durumda bulunurlar ve sistemin yeniden başlatılması ile tekrar hafızaya yerleşmez ya da kayıt defteri girişi eklemezler. Bu durum ev bilgisayarlarında bir sorun yaratmaz gibi görünsede birbirine bağlı ve sürekli çalışmak durumunda olan bir bilgisayar ağında can sıkıcı olabilmektedir.

Rootkit’lere Karşı Kullanılabilecek Yazılımlar

Rootkitler konusunda herhangi bir yazılım kullanmaya geçmeden önce güvenlik açısından atmanız gereken iki adım bulunmaktadır.

1-) Rootkitlerin bilgisayarı enfekte etmek için yönetici haklarına sahip olmaları gerektiğinden sisteminize yönetici olarak girmeyin, yetkileri sınırlandırılmış bir kullanıcı hesabı ile girmeniz bu konuda atabileceğiniz en büyük adımdır.

2-) Rootkitler yönetici hesabı dahil sisteme bir defa girdiklerinde diğer kullanıcı hesaplarınıda etkileyebileceklerinden, özellikle yönetici kullanıcısı başta olmak üzere sistemdeki kullanıcıların çok güçlü şifreler kullanması gerekir. Güçlü şifre nasıl olmalıdır diye bir örnek vereceğim (içerisinde özel semboller, büyük harf, küçük harf, sayı bulundurmalı, bunlar mümkün olduğunca birbirinden farklı olmalı ve en az 6-8 haneli olmalıdır) ancak ayrıntılı bilgilere sitemizden ya da arama motorlarını kullanarak ulaşabilirsiniz.

Belki de neden rootkitler için ayrı bir yazılım kullanmanız gerektiğini sorabilirsiniz. Bunun en büyük nedeni rootkit yazılımlarının şu an bilinen antivirüs ya da antispyware vb.. yazılımlar ile tespit edilememesinden kaynaklanmaktadır. Neden tespit edilemedikleri ise şöyle açıklanabilir; sisteme giren rootkit sizin sistem dosyalarınızla kendini yer değiştirir, bu yer değişikliği sonucu sisteminizde herşeyi yapabilir, olağan güvenlik yazılımları tarafından sistem dosyası olarak algılanır, isterse zararlı bir yazılımı tarama yapan güvenlik yazılımlarınıza zararsız gibi gösterebilir. Bunun yanında bu zararlı yazılımların kullandığı portları, dosyaları ve kayıt defteri anahtarlarını bile gizleyebilir. Aslında işte bu zararlı yazılımları, güvenlik yazılımlarından saklayabilme özellikleri rootkit yazılımlarını bu kadar tehlikeli yapmaktadır. Aslında bu yazılımların tüm varolma nedenide budur, başka zararlı yazılımlar için işleri çok kolaylaştırmış olurlar. Tüm bu anlattıklarıma rağmen rootkitler asla tespit edilemez değildir ve aşağıdaki yazılımlar kullanılarak tespit edilip, sisteminizden kaldırılabilirler.

Rootkit’lerin aslında UNIX kökenli olduğunu söylemiş olsak bile bugün en büyük tehtid altında olan kullanıcılar windows kullanıcılarıdır (bunun en büyük nedeni bu yazılımları hazırlayan kötü niyetli programcıların en popüler olan işletim sistemini seçmeleri ile doğrudan ilgisi vardır.) ve windows bu konuda çok ciddi çalışmalar yapmakta hatta ayrı bir rootkit tespit etme ve kaldırma yazılımı üzerinde çalışmaktadır. Tabi o süreye kadar diğer güvenlik firmaları da bu konuda boş durmamakta ve çeşitli rootkit yazılımları geliştirmektedirler. Aşağıdaki listede rootkit tespit etme ve kaldırma işlemlerinde kullanabileceğiniz bazı yazılımların listesine ulaşabilirsiniz.

Microsoft Malicious Software Removal Tool
Sophos Anti-Rootkit
AVG Anti-Rootkit
Rootkit Buster
Rootkit Revealer
Gmer