Após o alvo ser vítima de um ataque, o próximo propósito do atacante é estabelecer uma base fixa no atacado para obter acesso indevido sempre que quiser, sendo assim este fará uso de quaisquer recursos para que assim possa passar despercebido pelos administradores de sistema e usuários curiosos.

Um dos métodos utilizados pelos atacantes para esconder seus vestígios é a utilização de rootkits, programas que servem para esconder processos, conexões de rede e arquivos dos administradores, garantindo assim acesso fácil à vítima.

Vantagens, desvantagens e soluções

Até pouco tempo, na realização de ataques, comumente utiliza-se a alteração de programas muito utilizados pelos administradores para verificar processos (ps), conexões (netstat) dentre outros. Assim os administradores na realidade não estariam fazendo uso de um programa (ps, netstat) íntegro e sim de um programa alterado pelo atacante que, por motivos próprios, gostaria de esconder alguns vestígios.

O problema na realização deste tipo de cobertura de vestígio, ataque, é que para se obter sucesso necessita-se manipular um grande número de utilitários, tornando assim um tanto quanto inviável a sua prática. Resolvendo-se esse problema é que surgiram os rootkits.

Rootkits são na verdade conjuntos de ferramentas necessárias para a realização de um ataque, que antes seriam alteradas uma a uma pelo atacante e agora funcionam como um "kit invasão", ou seja, contém as mesmas ferramentas, só que agora já alteradas e prontas para instalação.

Devemos lembrar que muitos desses rootkits incluem backdoors e outros utilitários comuns entre hackers.

Vemos com algumas das desvantagens de utilizar-se rootkits, que estes podem ser facilmente detectados pelos administradores caso estes venham a fazer, por exemplo, uma comparação MD5 entre o arquivo original e o infectado. Outra desvantagem é que o atacante fica restrito às ferramentas manipuladas pelo rootkit utilizado, não podendo assim fazer uso de ferramentas diferentes ou então ao fazer o uso, teria então que alterar esta ferramenta para assim esconder vestígios.

Buscando soluções para os rootkits é que surgiram os "caçadores de rootkits", utilitários cuja finalidade é detectar a presença de rootkits na máquina. Cada um desses "caçadores" utiliza uma forma de detecção de rootkit, uma delas foi citada acima, a comparação MD5 entre arquivos originais e infectados.

Uma falha que o administrador de rede poderá encontrar ao utilizar-se de "caçadores de rootkits" é que estes tomam por base os arquivos originais encontrados nas diversas distribuições. Imaginemos agora que, por motivos próprios, o administrador da rede venha a manipular o arquivo "ps" por exemplo. Logo, ao finalizar a manipulação de tal arquivo e experimentar um caçador, este alegaria a presença de um arquivo possivelmente infectado.