Julgue os próximos itens no que se refere a rootkits em user...

A alternativa correta para a questão apresentada é Errado (E).

Vamos entender o porquê disso, discorrendo sobre o tema da questão e explicando os conceitos necessários para resolvê-la corretamente.

Rootkits são tipos de malware projetados para se esconderem no sistema e permitir o acesso não autorizado a um computador ou a partes de seu software que, de outra forma, estariam protegidas. Eles são particularmente perigosos devido à sua capacidade de se ocultar da detecção por software de segurança tradicional.

Existem dois principais tipos de rootkits mencionados na questão:

• User-level rootkits: Operam no nível do usuário, modificando arquivos e processos no espaço do usuário. Eles podem ser mais facilmente detectados e removidos, pois atuam em um nível mais superficial do sistema operacional.
• Kernel-level rootkits: Funcionam a um nível mais profundo, diretamente no núcleo do sistema operacional (kernel). São mais poderosos e difíceis de detectar e remover, pois têm o potencial de modificar partes críticas do sistema operacional.

A questão afirma que um rootkit em kernel-level apenas pode ser residente em memória, portanto, não pode ser considerado persistente. Esta afirmação está errada por alguns motivos importantes:

• Embora seja verdade que um kernel-level rootkit pode residir em memória, ele pode também ser persistente. Isso significa que ele pode ser reativado após uma reinicialização do sistema.
• Para ser persistente, um rootkit kernel-level pode modificar arquivos de sistema críticos ou o próprio kernel, de modo que ele se carregue automaticamente toda vez que o sistema é iniciado. Isto é, ele pode se instalar de maneira que não dependa de estar apenas na memória volátil, mas também em locais de armazenamento não volátil (como discos rígidos).

Conclusão: A afirmação da questão falha ao dizer que kernel-level rootkits não podem ser persistentes, pois, na verdade, eles podem se esconder tanto na memória quanto no sistema de arquivos, garantindo a sua reativação após reinicializações. Essa possibilidade de persistência aumenta muito o risco e a complexidade de remoção desses rootkits.

Espero que essa explicação tenha esclarecido suas dúvidas sobre o tema. Se precisar de mais detalhes ou tiver outras perguntas, estou à disposição!

Um rootkit persistente é um tipo que continuamente altera seu código para que possa se anexar em um arquivo de registro e permanecer oculto. Toda vez que você reiniciar seu computador, um novo código será gerado para manter o vírus ativo no servidor.

http://www.ehow.com.br/arquivo-oculto-rootkit-fatos_19221/

Então vamos dar nome as Bois...rss

Rootkits em modo kernel: 

Um rootkit em modo kernel é  muito perigoso que o modo usuário. O rootkit em modo usuário intercepta software válido para devolver um resultado diferente, mas ainda executa processos que podem ser detectados. Um rootkit em modo kernel se esconde removendo os processos associados com ele. Isto faz com que a detecção seja mais difícil, pois é como se o rootkit não existisse. Não se mostrará no gerenciador de tarefas ou em outro software que mostre os processos em execução no computador. Para detectá-lo, é necessária uma técnica complexa para buscar discrepâncias no registro do sistema.

Rootkits em modo usuário:  

Um rootkit em modo usuário penetra ainda mais fundo no sistema operacional. Ele se armazena em pastas de sistema ocultas e no registro, e realiza tarefas feitas por arquivos de sistema válidos. Como uma forma de evadir a detecção, ele intercepta o software que poderia encontrá-lo.  

Rootkits persistentes: 

Os rootkits persistentes se ativam na inicialização do computador. Normalmente se escondem no registro de inicialização, que é carregado pelo Windows ao ligar o computador. É difícil de detectar porque imita ações de arquivos válidos do computador e se executa sem intervenção do usuário.

Rootkits baseados em memória: 

Ao contrário dos rootkits persistentes, um baseado em memória é desativado quando o computador é reiniciado. Os rootkits se escondem na RAM (memória de acesso aleatório), isso é, o espaço temporário que os programas como o Microsoft Word, o Excel, o Outlook e os navegadores da web ocupam quando estão abertos. Quando você abre um programa, o computador reserva espaço na RAM. Quando o programa finaliza, esse espaço é liberado para ser usado por outros programas. O rootkit baseado em memória faz a mesma coisa. Ocupa um espaço de endereços na RAM. Quando um computador é desligado, todos os programas são fechados e a memória é limpada, incluindo o rootkit.

Para quem não tem acesso à resposta.

Gab. E

PENSA NUM CARA CHATO ESSE TAL DE ROOTKIT, MLK É BRASILEIRO NATO, NÃO DESISTE NUNCA.

Segunda questão que vejo falando dos rootkits e seus modos de atuação. Vamos lá:

"Modo de usuário: Intercepta chamadas a APIs (interfaces de programação de aplicativos) e modifica resultados retornados. Por exemplo, quando uma aplicação executa uma listagem de diretório, os resultados retornados não incluem entradas que identificam os arquivos associados ao rootkit.

Modo de kernel (núcleo): Pode interceptar chamadas a APIs nativas em modo de kernel. O rootkit também pode ocultar a presença de um processo de malware removendo-o da lista de processos ativos do kernel".

Fonte: Segurança de Computadores, Stallings, p. 147