rootkits
rootkits
Rootkits最初是一套针对unix操作系统的工具集合,黑客利用这些工具隐藏其入侵活动的痕迹。这些工具可以在操作系统中隐藏恶意程序,包括进程、文件夹和注册码。随着技术的发展,Rootkits也在Windows操作系统上广泛出现,成为一种强大的防护手段,使得其他软件难以发现、修改或删除受保护的文件。
历史背景
Rootkits起源于UNIX操作系统,随着时间推移,这类工具和技术逐渐扩展至Windows平台。Rootkits的作用类似于一层铠甲,保护自身和其他指定文件免受外部干扰。即使面对最顽固的流氓软件和病毒,如果没有解除Rootkits的保护,常规的杀毒软件也无法彻底清除它们。
定义
Rootkits是Linux/Unix环境下的一种工具,允许攻击者在获取root权限后隐藏其活动轨迹并保持对系统的访问权限。攻击者可以通过Rootkits检查系统是否存在其他用户的登录记录,并清除相关日志信息。此外,Rootkits还能通过嗅探器获取其他系统的用户名和密码。
类型与处理方法
分类
Rootkits可分为应用级别、内核级别和硬件级别三种类型。早期的Rootkits主要以应用级别为主,通过替换系统工具或修改配置文件等方式实现隐藏后门。硬件级别的Rootkits则涉及BIOS层面的操作,能够在系统启动前获得控制权。目前最常见的Rootkits属于内核级别,通过直接修改内核来添加隐藏代码。
第一种技术
第一种Rootkits技术通常是通过释放DLL文件并将它们注入到其他软件及系统进程中运行,通过HOOK方式拦截消息,防止Windows及其他应用程序访问受保护的文件。
第二种技术
第二种技术更为复杂,通过在Windows启动时加载Rootkits驱动程序,获取对Windows的控制权。当程序尝试访问受保护的文件时,Rootkits会返回虚假结果,从而达到隐藏或锁定文件的目的。
清除难度
进程注入式的Rootkits相对容易处理,可通过杀毒软件的开机扫描功能清除。但对于驱动级别的Rootkits,由于其加载优先级高,目前尚无有效的方法。多数杀毒软件在处理此类Rootkits时会出现漏查漏杀的情况。
新兴威胁
Rootkits被视为一种新型威胁,因为它们可以使系统发生改变,隐藏可能存在的恶意软件。例如,Rustock和mailbot等恶意代码采用了rootkit技术,使其能够逃避安全软件的检测。尽管这些新技术带来了挑战,但安全厂商仍在不断研发新的检测和清除工具。
应用实例
简单的应用级别Rootkits可以通过替换已提升权限的命令来实现其功能,并提供清理工具以删除日志文件中的相关信息。更复杂的Rootkits甚至可以提供远程终端、外壳和手指等服务。
参考资料
目录
概述
历史背景
定义
类型与处理方法
分类
第一种技术
第二种技术
清除难度
新兴威胁
应用实例
参考资料