Perché i rootkit si nascondono nei driver?

Come hai detto, molti driver funzionano in modalità kernel, quindi hanno accesso a tutte le cose interessanti e possono facilmente nascondersi dai debugger.

Ci sono altri motivi che rendono i conducenti un posto interessante:

• Esiste un'enorme quantità di driver di periferica e i fornitori offrono nuove versioni di driver che differiscono dalla versione inclusa nel sistema operativo. Quindi, a differenza delle parti principali del sistema operativo, non è facile gestire un database con hash di file noti.

• Esistono strumenti e documentazione standard per lo sviluppo di driver. Quindi questo è molto più semplice rispetto all'aggiunta diretta della memoria del kernel o alla sostituzione del boot loader.

• L'accesso diretto alla memoria in un driver di dispositivo non è sospetto.

• Alcuni driver vengono caricati in anticipo durante il processo di avvio, in modo che possano applicare la loro magia prima che venga caricato uno scanner antivirus. Quindi lo scanner antivirus vede solo ciò che il rootkit vuole che veda.

Un particolare tipo di driver che è interessante nascondere per un rootkit è un driver del file system. Il rootkit può facilmente filtrare i risultati degli elenchi di directory e nascondersi dagli utenti e da altri strumenti di sistema.

Allo stesso modo, nascondendo in un driver di rete è possibile filtrare alcune connessioni e rimuoverle dall'elenco delle connessioni aperte.

a livello di driver, le applicazioni possono avere pieno accesso all'hardware del sistema. Ciò include i driver di filtro che inseriscono tra il driver HW e il sistema operativo in modo totalmente trasparente, rendendo quasi impossibile per altre applicazioni rilevare la loro presenza.

Che può essere applicato al driver del filesystem, al driver di rete, ai dispositivi di input (tastiere ..).

Le applicazioni a livello di driver possono anche essere rese invisibili per elaborare il monitoraggio, rendendole davvero difficili da rilevare e rimuovere.