«Руткит» — слово, которое встречается в безопасности, в вредоносном ПО и всё чаще в разговорах об античите. Понимание его многое объясняет о том, как на самом деле работают современное читерство и борьба с ним.
Что такое руткит
Руткит — это ПО, работающее на глубоком, высокопривилегированном уровне системы — часто внутри ядра операционной системы — именно чтобы скрыть своё присутствие и сохранить контроль. Определяющая черта — сокрытие: руткит создан так, чтобы собственные инструменты системы его не сообщали. Если вы его не видите, вы не можете легко его удалить.
Почему глубина равна силе
Операционная система многослойна. Обычные программы работают с ограниченными правами; ядро работает с полным контролем над памятью, оборудованием и каждым процессом. Код на такой глубине может решать, что слоям выше позволено видеть. Это и делает руткит мощным — и опасным — когда он вредоносное ПО.
Связь с читами
Современные игровые читы продвинулись ровно на эту территорию. Чит уровня ядра использует руткит-подобную глубину, чтобы спрятаться от античит-ПО: если чит сидит глубже античита, он может пытаться скрыть себя так же, как руткит скрывает вредоносное ПО. Это суть гонки вооружений в читерстве.
Связь с античитами
Это также объясняет, почему античиты ушли в ядро. Чтобы обнаружить что-то, работающее на глубине руткита, обычно нужно быть на той же глубине. Античит уровня ядра не пытается быть руткитом — он не прячется — но работает на том же привилегированном уровне, потому что именно там он должен смотреть. Спор о приватности и безопасности вокруг античита уровня ядра идёт прямо отсюда.
Вывод
Руткит определяется глубиной и сокрытием. Это понятие — ключ к современному античиту: читы используют руткит-подобную глубину, чтобы прятаться, поэтому античиты спускаются на тот же уровень, чтобы их найти. Вся эпоха античитов уровня ядра, по сути, — ответ на читерство в стиле руткитов.