Rootkits最初是一套針對unix操作系統(tǒng)的工具集合,黑客利用這些工具隱藏其入侵活動的痕跡。這些工具可以在操作系統(tǒng)中隱藏惡意程序,包括進程、文件夾和注冊碼。隨著技術(shù)的發(fā)展,Rootkits也在Windows操作系統(tǒng)上廣泛出現(xiàn),成為一種強大的防護手段,使得其他軟件難以發(fā)現(xiàn)、修改或刪除受保護的文件。
歷史背景
Rootkits起源于UNIX操作系統(tǒng),隨著時間推移,這類工具和技術(shù)逐漸擴展至Windows平臺。Rootkits的作用類似于一層鎧甲,保護自身和其他指定文件免受外部干擾。即使面對最頑固的流氓軟件和病毒,如果沒有解除Rootkits的保護,常規(guī)的殺毒軟件也無法徹底清除它們。
定義
Rootkits是Linux/Unix環(huán)境下的一種工具,允許攻擊者在獲取root權(quán)限后隱藏其活動軌跡并保持對系統(tǒng)的訪問權(quán)限。攻擊者可以通過Rootkits檢查系統(tǒng)是否存在其他用戶的登錄記錄,并清除相關(guān)日志信息。此外,Rootkits還能通過嗅探器獲取其他系統(tǒng)的用戶名和密碼。
類型與處理方法
分類
Rootkits可分為應(yīng)用級別、內(nèi)核級別和硬件級別三種類型。早期的Rootkits主要以應(yīng)用級別為主,通過替換系統(tǒng)工具或修改配置文件等方式實現(xiàn)隱藏后門。硬件級別的Rootkits則涉及BIOS層面的操作,能夠在系統(tǒng)啟動前獲得控制權(quán)。目前最常見的Rootkits屬于內(nèi)核級別,通過直接修改內(nèi)核來添加隱藏代碼。
第一種技術(shù)
第一種Rootkits技術(shù)通常是通過釋放DLL文件并將它們注入到其他軟件及系統(tǒng)進程中運行,通過HOOK方式攔截消息,防止Windows及其他應(yīng)用程序訪問受保護的文件。
第二種技術(shù)
第二種技術(shù)更為復(fù)雜,通過在Windows啟動時加載Rootkits驅(qū)動程序,獲取對Windows的控制權(quán)。當(dāng)程序嘗試訪問受保護的文件時,Rootkits會返回虛假結(jié)果,從而達到隱藏或鎖定文件的目的。
清除難度
進程注入式的Rootkits相對容易處理,可通過殺毒軟件的開機掃描功能清除。但對于驅(qū)動級別的Rootkits,由于其加載優(yōu)先級高,目前尚無有效的方法。多數(shù)殺毒軟件在處理此類Rootkits時會出現(xiàn)漏查漏殺的情況。
新興威脅
Rootkits被視為一種新型威脅,因為它們可以使系統(tǒng)發(fā)生改變,隱藏可能存在的惡意軟件。例如,Rustock和mailbot等惡意代碼采用了rootkit技術(shù),使其能夠逃避安全軟件的檢測。盡管這些新技術(shù)帶來了挑戰(zhàn),但安全廠商仍在不斷研發(fā)新的檢測和清除工具。
應(yīng)用實例
簡單的應(yīng)用級別Rootkits可以通過替換已提升權(quán)限的命令來實現(xiàn)其功能,并提供清理工具以刪除日志文件中的相關(guān)信息。更復(fù)雜的Rootkits甚至可以提供遠程終端、外殼和手指等服務(wù)。
參考資料 >