{"id":55022,"date":"2019-08-28T16:29:02","date_gmt":"2019-08-28T15:29:02","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=55022"},"modified":"2020-03-25T11:34:08","modified_gmt":"2020-03-25T10:34:08","slug":"rootkit-quali-tipi-esistono-come-scoprirli","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/rootkit-quali-tipi-esistono-come-scoprirli\/55022\/","title":{"rendered":"Rootkit. Quali tipi esistono e come scoprirli"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69f718bcba6b5\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69f718bcba6b5\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/rootkit-quali-tipi-esistono-come-scoprirli\/55022\/#Limportanza_di_comprendere_il_vettore_di_attacco\" >L&#8217;importanza di comprendere il vettore di attacco<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/rootkit-quali-tipi-esistono-come-scoprirli\/55022\/#Comprensione_della_posizione_di_un_rootkit_nel_sistema_operativo\" >Comprensione della posizione di un rootkit nel sistema operativo<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/alground.com\/site\/rootkit-quali-tipi-esistono-come-scoprirli\/55022\/#Rootkit_in_modalita_utente_e_iniezione_DLL\" >Rootkit in modalit\u00e0 utente e iniezione DLL<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/alground.com\/site\/rootkit-quali-tipi-esistono-come-scoprirli\/55022\/#Aggancio_IAT_contro_aggancio_in_linea\" >Aggancio IAT contro aggancio in linea<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/alground.com\/site\/rootkit-quali-tipi-esistono-come-scoprirli\/55022\/#Rootkit_in_modalita_kernel_e_tecniche_di_aggancio\" >Rootkit in modalit\u00e0 kernel e tecniche di aggancio<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/alground.com\/site\/rootkit-quali-tipi-esistono-come-scoprirli\/55022\/#Aggancio_SSDT\" >Aggancio SSDT<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/alground.com\/site\/rootkit-quali-tipi-esistono-come-scoprirli\/55022\/#Aggancio_IDT\" >Aggancio IDT<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/alground.com\/site\/rootkit-quali-tipi-esistono-come-scoprirli\/55022\/#Aggancio_della_funzione_in_linea\" >Aggancio della funzione in linea<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/alground.com\/site\/rootkit-quali-tipi-esistono-come-scoprirli\/55022\/#Key_takeaway\" >Key takeaway<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/alground.com\/site\/rootkit-quali-tipi-esistono-come-scoprirli\/55022\/#Meccanismi_di_rilevazione\" >Meccanismi di rilevazione<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/alground.com\/site\/rootkit-quali-tipi-esistono-come-scoprirli\/55022\/#%E2%80%A2_Basato_su_firma\" >\u2022 Basato su firma<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/alground.com\/site\/rootkit-quali-tipi-esistono-come-scoprirli\/55022\/#%E2%80%A2_Basato_sul_comportamento\" >\u2022 Basato sul comportamento<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/alground.com\/site\/rootkit-quali-tipi-esistono-come-scoprirli\/55022\/#%E2%80%A2_Visualizzazione_basata_su_diff_croce\" >\u2022 Visualizzazione basata su diff \/ croce<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/alground.com\/site\/rootkit-quali-tipi-esistono-come-scoprirli\/55022\/#%E2%80%A2_Verifica_dellintegrita\" >\u2022 Verifica dell&#8217;integrit\u00e0<\/a><\/li><\/ul><\/li><\/ul><\/nav><\/div>\n\n<p>Un rootkit \u00e8 semplicemente un insieme di strumenti in grado di procurare e mantenere l&#8217;accesso privilegiato di root a un sistema operativo. Un rootkit malware di solito trasporta un codice\/software dannoso che viene distribuito segretamente nel sistema di destinazione. <\/p>\n\n\n\n<p>Per mantenere l&#8217;accesso backdoor per il malware, i rootkit possono sfruttare i processi del sistema in background a vari livelli di privilegi. In un sistema Windows, questo di solito significa attaccare in modalit\u00e0 utente o kernel.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"section4\"><span class=\"ez-toc-section\" id=\"Limportanza_di_comprendere_il_vettore_di_attacco\"><\/span>L&#8217;importanza di comprendere il vettore di attacco<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Contrariamente alla percezione popolare, un rootkit non compromette la sicurezza del sistema da solo.&nbsp;La penetrazione delle difese di un sistema operativo \u00e8 gestita dal metodo impiegato per infettare il sistema.&nbsp;Ci sono molti modi per farlo oggi:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Invio di un file infetto \/ Trojan come allegati di posta elettronica<\/li><li>Creazione di app malware mascherate da banner \/ pop-up innocui sui siti Web<\/li><li>L&#8217;uso di attacchi di phishing e altri malware come i keylogger offrono agli attacker l&#8217;accesso root, che pu\u00f2 quindi essere utilizzato per iniettare il rootkit<\/li><\/ul>\n\n\n\n<p>Un rootkit inizia il suo lavoro una volta che il vettore ha compromesso con successo il sistema, dandogli la possibilit\u00e0 di entrare in modalit\u00e0 privilegiate di root all&#8217;interno del sistema operativo.\u00a0Una volta ottenuto l&#8217;accesso, a seconda del luogo del suo attacco, un rootkit pu\u00f2 cambiare il software installato o anche parti del sistema operativo stesso.\u00a0Ci\u00f2 pu\u00f2 rendere difficile da rilevare un&#8217;infezione da rootkit o persino praticamente invisibile.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"section5\"><span class=\"ez-toc-section\" id=\"Comprensione_della_posizione_di_un_rootkit_nel_sistema_operativo\"><\/span>Comprensione della posizione di un rootkit nel sistema operativo<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Windows ha due modalit\u00e0 per l&#8217;esecuzione del codice: la modalit\u00e0 utente e la modalit\u00e0 kernel. Di questi, la modalit\u00e0 kernel \u00e8 la pi\u00f9 importante, in quanto funge da collegamento diretto tra il codice hardware e software. Questa \u00e8 la modalit\u00e0 con privilegi pi\u00f9 alti , o &#8220;root&#8221; in un sistema Windows. <\/p>\n\n\n\n<p>Ma non tutti i programmi e i processi richiedono l&#8217;accesso all&#8217;intera gamma di potenza di elaborazione e hardware di sistema. Queste funzioni di livello inferiore sono gestite in una modalit\u00e0 con privilegi inferiori: la modalit\u00e0 utente. <\/p>\n\n\n\n<p>In modalit\u00e0 kernel, il sistema operativo esegue i codici direttamente per eseguire tutte le attivit\u00e0 di alto livello di gestione del sistema. Al contrario, la modalit\u00e0 utente utilizza un&#8217;API (Application Programming Interface) per eseguire indirettamente i codici. Durante il normale funzionamento del sistema, l&#8217;API esegue chiamate di funzione al kernel e riceve informazioni in cambio. <\/p>\n\n\n\n<figure class=\"wp-block-image\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"630\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2019\/08\/rootkit-1.jpg\" alt=\"\" class=\"wp-image-55028\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2019\/08\/rootkit-1.jpg 800w, https:\/\/alground.com\/site\/wp-content\/uploads\/2019\/08\/rootkit-1-300x236.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2019\/08\/rootkit-1-768x605.jpg 768w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><\/figure>\n\n\n\n<p>Un rootkit di solito dirotta queste chiamate di funzione, sia in modalit\u00e0 utente che in modalit\u00e0 kernel, a seconda del suo design. <\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"section6\"><span class=\"ez-toc-section\" id=\"Rootkit_in_modalita_utente_e_iniezione_DLL\"><\/span>Rootkit in modalit\u00e0 utente e iniezione DLL<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>In Windows, l&#8217;aggancio delle API \u00e8 una tecnica comunemente utilizzata per modificare o cambiare il flusso delle chiamate API.&nbsp;Un rootkit in modalit\u00e0 utente sfrutta questa tecnica per iniettare codice dannoso nella memoria di un programma rimanendo nascosto.&nbsp;<\/p>\n\n\n\n<p>Perch\u00e9 questo funzioni, il rootkit deve inserire il suo codice in un processo comunemente usato.\u00a0In Windows, le librerie Dynamic Link (DLL) sono perfette per questo, poich\u00e9 sono chiamate da molti programmi diversi installati nel sistema operativo.\u00a0<\/p>\n\n\n\n<p>L&#8217;iniezione DLL \u00e8 il metodo utilizzato dall&#8217;utente rootkit (hacker) per inserire codice dannoso in vari programmi che eseguono chiamate API nel sistema operativo.&nbsp;Esistono diversi modi per raggiungere questo obiettivo:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Modifica dei valori di registro per aggiungere una nuova DLL dannosa al sistema Windows<\/li><li>Utilizzo dell&#8217;aggancio globale in Windows per influire su tutte le chiamate API del programma<\/li><li>Creando un thread remoto per il processo di destinazione per aggiungere ad esso DLL infetta<\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"section7\"><span class=\"ez-toc-section\" id=\"Aggancio_IAT_contro_aggancio_in_linea\"><\/span>Aggancio IAT contro aggancio in linea<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Il principale punto debole di un rootkit a livello di utente \u00e8 che manca l&#8217;accesso diretto al kernel del sistema operativo. Quindi usano API che aggancia un exploit. Ci sono due diverse tecniche spesso utilizzate qui: l&#8217;aggancio IAT e l&#8217;aggancio in linea. <\/p>\n\n\n\n<p>In Windows, una IAT (Import Address Table) viene utilizzata per semplificare l&#8217;accesso alle DLL con i loro indirizzi di funzioni variabili. Lo IAT ospita i puntatori a funzione delle DLL quando vengono caricati dal caricatore di Windows durante una chiamata API. <\/p>\n\n\n\n<p>Utilizzando l&#8217;aggancio IAT, un rootkit pu\u00f2 apportare modifiche all&#8217;elenco delle chiamate delle funzioni DLL, sostituendo le funzioni esistenti con il proprio indirizzo. Quando un&#8217;applicazione effettua una chiamata API per quella funzione, il codice rootkit viene caricato invece nello spazio di memoria del programma vittima.<\/p>\n\n\n\n<p>Al contrario, l&#8217;aggancio in linea modifica direttamente i codici funzione di programmi specifici. Questo \u00e8 un approccio pi\u00f9 mirato e ristretto rispetto all&#8217;aggancio IAT. Ma come l&#8217;aggancio IAT, l&#8217;obiettivo qui \u00e8 quello di far caricare le chiamate API del programma dal codice dannoso dall&#8217;indirizzo rootkit. <\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"section8\"><span class=\"ez-toc-section\" id=\"Rootkit_in_modalita_kernel_e_tecniche_di_aggancio\"><\/span>Rootkit in modalit\u00e0 kernel e tecniche di aggancio<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>L&#8217;uso dell&#8217;iniezione DLL rende relativamente pi\u00f9 facile rilevare un&#8217;infezione da rootkit in modalit\u00e0 utente. Ma i rootkit in modalit\u00e0 kernel sono del tutto diversi. Si trova allo stesso livello della maggior parte dei software di rilevamento malware e pu\u00f2 eludere il rilevamento alterando parti del codice del kernel stesso. <\/p>\n\n\n\n<p>Un rootkit in modalit\u00e0 kernel pu\u00f2 apportare modifiche al sistema usando diverse tecniche di aggancio. Questi includono: <\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"section9\"><span class=\"ez-toc-section\" id=\"Aggancio_SSDT\"><\/span>Aggancio SSDT<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>In Windows, le chiamate di sistema al kernel sono gestite secondo la tabella di invio del servizio di sistema o SSDT.&nbsp;Questa tabella contiene gli indirizzi di memoria importanti delle funzioni principali chiamate.&nbsp;Se un rootkit ottiene l&#8217;accesso al kernel, pu\u00f2 apportare modifiche all&#8217;SSDT, con risultati simili a quelli dell&#8217;aggancio IAT.&nbsp;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"section10\"><span class=\"ez-toc-section\" id=\"Aggancio_IDT\"><\/span>Aggancio IDT<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>La modalit\u00e0 kernel di Windows contiene anche una tabella descrittore di interrupt (IDT) per gestire eventuali interruzioni causate da un software o hardware.&nbsp;Un semplice esempio potrebbe essere un interrupt di processo causato dalla tastiera.&nbsp;Un rootkit pu\u00f2 utilizzare l&#8217;hook IDT per raccogliere informazioni importanti, compresi i dati della tastiera.&nbsp;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"section11\"><span class=\"ez-toc-section\" id=\"Aggancio_della_funzione_in_linea\"><\/span>Aggancio della funzione in linea<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>I rootkit del kernel possono anche usare hook non correlati alle tabelle di sistema.&nbsp;Nell&#8217;aggancio in linea, il codice dannoso attacca parti specifiche di una funzione di destinazione nel kernel, costringendolo a passare a un&#8217;area specifica nella memoria di sistema contenente il codice rootkit.&nbsp;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"section12\"><span class=\"ez-toc-section\" id=\"Key_takeaway\"><\/span>Key takeaway<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<ul class=\"wp-block-list\"><li>I rootkit usano molti diversi vettori e tecniche di attacco per compromettere la sicurezza di un sistema e infettarlo<\/li><li>I rootkit funzionano dirottando o collegando le chiamate di funzione API in un sistema operativo<\/li><li>In Windows, possono farlo a Ring-3 (livello utente) e Ring-0 (livello kernel)<\/li><li>I rootkit a livello di utente spesso usano l&#8217;iniezione DLL per aggiungere codice dannoso alle applicazioni<\/li><li>A livello di kernel, abusano delle chiamate di funzione SSDT e IDT per apportare modifiche<\/li><\/ul>\n\n\n\n<figure class=\"wp-block-image\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"400\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2019\/08\/rootkit-2.jpg\" alt=\"\" class=\"wp-image-55029\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2019\/08\/rootkit-2.jpg 800w, https:\/\/alground.com\/site\/wp-content\/uploads\/2019\/08\/rootkit-2-300x150.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2019\/08\/rootkit-2-768x384.jpg 768w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Meccanismi_di_rilevazione\"><\/span>Meccanismi di rilevazione<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Il rilevamento di rootkit \u00e8 considerato un problema complicato nella sicurezza dei computer, ma dipende anche dal livello di programmazione in ciascun caso particolare.\u00a0Come in altri meccanismi di rilevamento del malware, vengono utilizzate tecniche basate su firma e comportamento.\u00a0Altre tecniche utilizzate per il rilevamento dei rootkit sono l&#8217;analisi basata sulla diff e i controlli di integrit\u00e0.\u00a0Non esiste un&#8217;unica applicazione in grado di rilevare e rimuovere tutti i tipi di rootkit in quanto l&#8217;area in cui potrebbero risiedere potrebbe essere completamente diversa, software o hardware.\u00a0Nella maggior parte dei casi, un rootkit pu\u00f2 essere rimosso solo ricostruendo il sistema compromesso.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"%E2%80%A2_Basato_su_firma\"><\/span>\u2022 Basato su firma<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Questa \u00e8 la tecnica pi\u00f9 comune per il rilevamento di malware.&nbsp;Tuttavia, \u00e8 il meno efficiente in quanto \u00e8 efficace solo per rootkit gi\u00e0 rilevati e diffusi.&nbsp;Le firme dei rootkit noti vengono utilizzate per rilevare se ne esiste una su un sistema.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"%E2%80%A2_Basato_sul_comportamento\"><\/span>\u2022 Basato sul comportamento<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Questi rilevatori identificano un comportamento anomalo su un sistema informatico basato su euristica e schemi comportamentali.&nbsp;Questi schemi sono derivati \u200b\u200bda alcune attivit\u00e0 che si trovano tipicamente nei rootkit.&nbsp;Il vantaggio della tecnica basata sul comportamento rispetto alla precedente \u00e8 che pu\u00f2 rilevare rootkit precedentemente sconosciuti.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"%E2%80%A2_Visualizzazione_basata_su_diff_croce\"><\/span>\u2022 Visualizzazione basata su diff \/ croce<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>L&#8217;approccio Diff-Based o Cross view viene utilizzato principalmente per rilevare rootkit in modalit\u00e0 kernel confrontando due diverse visualizzazioni del sistema per le stesse informazioni attraversando le strutture di dati.&nbsp;In questo caso, il rilevatore di rootkit otterr\u00e0 una vista del sistema e una vista ottenuta dalle utilit\u00e0 di sistema e quindi li confronter\u00e0.&nbsp;Una differenza nei risultati restituiti dai due approcci segnala la presenza di un rootkit.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"%E2%80%A2_Verifica_dellintegrita\"><\/span>\u2022 Verifica dell&#8217;integrit\u00e0<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>I controlli di integrit\u00e0 possono essere eseguiti in un sistema per verificare l&#8217;alterazione del codice non autorizzata nei file di sistema.&nbsp;Innanzitutto, \u00e8 necessario eseguire una funzione unidirezionale per calcolare un hash per ogni file di sistema quando il sistema \u00e8 ancora pulito e quindi utilizzarlo come base.&nbsp;Quando sorge la necessit\u00e0, viene eseguito un confronto hash tra gli hash di base e gli hash della versione corrente.<br><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un rootkit \u00e8 semplicemente un insieme di strumenti in grado di procurare e mantenere l&#8217;accesso privilegiato di root a un sistema operativo. Un rootkit malware di solito trasporta un codice\/software dannoso che viene distribuito segretamente nel sistema di destinazione. Per mantenere l&#8217;accesso backdoor per il malware, i rootkit possono sfruttare i processi del sistema in [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":55027,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[387,1916],"tags":[],"class_list":{"0":"post-55022","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-guide-sicurezza","8":"category-how-to","9":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2019\/08\/rootik-evid.jpg","wps_subtitle":"","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/55022","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=55022"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/55022\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/55027"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=55022"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=55022"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=55022"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}