Julgue os próximos itens no que se refere a rootkits em user...

Gabarito: C - Correto

Vamos entender o porquê dessa afirmativa ser correta: Primeiramente, é importante compreender o que são rootkits. Eles são conjuntos de softwares maliciosos que se instalam em um computador ou em parte do sistema operacional com o objetivo de esconder a si próprios e a outras atividades maliciosas, permitindo que o invasor tenha controle sobre o sistema.

Existem diferentes tipos de rootkits, mas a questão destaca dois: user-level e kernel-level. Os rootkits em user-level operam no mesmo nível que as aplicações regulares do usuário e têm privilégios limitados comparados aos rootkits de kernel-level que operam com os mais altos privilégios possíveis no sistema operacional.

Quando um rootkit em user-level tenta executar ações no sistema operacional Windows, ele geralmente precisa utilizar as Application Programming Interfaces (APIs) fornecidas pelo sistema. Isso ocorre porque esses rootkits não têm acesso direto ao núcleo do sistema operacional, necessitando assim das APIs para interagir com o sistema e realizar suas atividades mal-intencionadas.

Uma maneira comum de um rootkit em user-level interagir com o sistema Windows é através da injeção ou substituição de Dynamic Link Libraries (DLLs). As DLLs são bibliotecas de funções que programas no Windows podem chamar para realizar tarefas. Ao injetar ou substituir DLLs do sistema com versões comprometidas, o rootkit pode interceptar chamadas de função e alterar o comportamento do sistema de maneiras que beneficiem o invasor.

Portanto, a afirmativa está correta ao dizer que um rootkit em user-level sem grandes privilégios utiliza APIs para tentar fazer uso de recursos do sistema operacional, e que, em ambientes Windows, isso pode ser feito por meio da manipulação de DLLs de sistema.

Gabarito Certo

Rootkits em modo usuário:  

Um rootkit em modo usuário penetra ainda mais fundo no sistema operacional. Ele se armazena em pastas de sistema ocultas e no registro, e realiza tarefas feitas por arquivos de sistema válidos. Como uma forma de evadir a detecção, ele intercepta o software que poderia encontrá-lo. 

"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !

Os ROOTKITS QUE CORREM NO CONTEXTO DO UTILIZADOR recorrem frequentemente a uma técnica “clássica” para se passarem por despercebidos: interceptar as chamadas da API do Windows que enumeram os ficheiros e pastas existentes num determinado local (FindFisrtFile e FindNextFile) e alteram o resultado, excluindo-se dessa listagem. Apesar de simples, é brilhante pois este pequeno truque consegue de fato tornar o malware invisível ao utilizador final e às aplicações de antivírus.