Zwierzenia pogromcy rootkitów

Jakiś czas temu wziął Pan udział w konkursie zorganizowanym przez czeskiego programistę o pseudonimie Holy Father (Ojciec Święty), który sprzedawał stworzony przez siebie rootkit i twierdził, że jest on w stanie oszukać program RootkitRevealer. Proszę o tym opowiedzieć.

Rzeczywiście, Holy Father reklamował swój produkt informując, że skutecznie ukrywa się on przed naszym programem. To było ciekawe wyzwanie - RootkitRevealer wykrył podstawową wersję stworzonego przez niego rootkitu. Nie wiemy niestety, jak poradziłby sobie z wersją "gold" - ponieważ Holy Father udostępniał ją jedynie swoim klientom.

Jak to się właściwie stało, że zainteresował się Pan rootkitami?

Dzięki mojemu doświadczeniu z pracy z systemami operacyjnymi już w połowie lat 90. poznałem rootkity dla systemów uniksowych. Wtedy również ich działanie polegało głównie na modyfikowaniu działania systemu operacyjnego. Rootkitom była również poświęcona moja praca dyplomowa na Carnegie Mellon University - pisałem w niej o elementach systemu operacyjnego, które mogą zostać wykorzystane do instalowania w nim "niewidzialnych" programów.

Później stworzyłem program o nazwie Regmon - powstał, bo nie było wtedy narzędzia, które potrafiłoby monitorować zmiany wprowadzane przez aplikacje do rejestru systemowego. Cały czas zresztą śledzę rozwój tych programów - często zaglądam np. na Rootkit.com.

Jak wykryć i usunąć rootkity?

Więcej informacji o rootkitach oraz sposobach ich wykrywania i usuwania znaleźć można w artykule "Rootkity: śpij spokojnie. Nawet jeśli je masz, są dobrze ukryte". Polecamy również tekst "Rootkit - wykryj niewykrywalne".