В случае систем (подобных Solaris), не позволяющих отключать модули ядра, и других RootKit уровня ядра, которые просто изменяют ядро без использования каких-либо модулей (подобно инструменту от Rootkit.com для Windows NT), ваша лучшая защита - предотвратить получение атакующим прав доступа супервизора.
Изменяя систему для поддержания доступа, атакующие часто используют различные приемы заметания своих следов. В следующей главе мы исследуем тактики маскировки в системе.
После получения доступа к машине-мишени атакующие хотят сохранить этот доступ. Они применяют для достижения этой цели троянских коней, черные ходы и RootKit. Троянский конь - программа, которая выглядит так, будто имеет некую полезную цель, но на самом деле скрывает вредоносные возможности. Черные ходы дают атакующему доступ к машине, обходя обычные элементы управления безопасностью.
.
