Les types de kits de racine

rootkits persistants activent pendant le redémarrage. En général, un rootkit persistant se cache dans le registre de démarrage, qui Windows charge chaque fois que l`ordinateur redémarre. Il est difficile à détecter car il imite les actions de fichiers informatiques valides et il exécute sans aucune intervention de l`utilisateur. Les virus et autres logiciels malveillants peuvent se greffer sur un rootkit persistant, car, en plus d`être difficile à trouver, il ne disparaît pas lorsque l`ordinateur est arrêté.

Contrairement à rootkits persistants, un rootkit basé sur la mémoire est désactivée lorsqu`un ordinateur redémarre. rootkits basé sur la mémoire s`incrustent dans la RAM (mémoire à accès aléatoire) de l`ordinateur. La RAM est l`espace temporaire que des programmes comme Microsoft Word, Excel, Outlook et les navigateurs Web occupent lorsque ces programmes sont ouverts. Lorsque vous ouvrez un programme, l`ordinateur alloue un espace dans la mémoire vive. Lorsque vous fermez le programme, l`ordinateur libère cet espace d`adressage pour d`autres programmes à utiliser. Le rootkit basé sur la mémoire fait la même chose. Il occupe un espace d`adressage dans la RAM. Lorsqu`un ordinateur est arrêté, tous les programmes sont fermés, qui vide les espaces de mémoire, y compris le rootkit.

Un rootkit en mode utilisateur infiltre le système d`exploitation encore plus profond. Elle se stocke dans les dossiers système cachés et le registre et exécute les tâches effectuées par les fichiers système valides. Dans un sens, il échappe à toute détection est qu`il intercepte le logiciel qui, autrement, pourraient détecter. Le rootkit en mode utilisateur peut lui-même intégré sur un programme qui scanne les virus. Lorsque le programme est exécuté, les interceptions de rootkit que l`action comme si elle est celui qui fait le balayage. Au lieu du programme de retour d`une détection, il ne retourne rien.

Un rootkit en mode noyau est encore plus dangereux qu`un rootkit en mode utilisateur. rootkits en mode utilisateur d`intercepter un logiciel valide pour revenir à un résultat différent, mais ils ont encore exécuter des processus qui peuvent être détectés. Un rootkit en mode noyau se cache en supprimant les processus qui lui sont associés. Cela rend la détection plus difficile, car il est comme si n`existe pas le rootkit en mode noyau. Il ne sera pas affiché dans le Gestionnaire des tâches ou tout autre logiciel qui affiche tous les processus en cours d`exécution sur l`ordinateur. La détection des rootkits en mode noyau implique une technique sophistiquée de trouver des divergences entre le registre du système.