複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/rootkits/9101168
複製
複製成功

rootkits

鎖定
Rootkits最早是一組用於UNIX操作系統的工具集,黑客使用它們隱藏入侵活 動的痕跡,它能在操作系統中隱藏惡意程序。這些程序在植入系統後,rootkits 會將它們 隱藏起來,它能隱藏任何惡意程序過程、文件夾、註冊碼。
中文名
系統權限獲取器
外文名
Rootkits
別    名
Startup Scan
別    名
BootScan
平    台
UNIX,Linux,Windows
軟件性質
惡意軟件
權限級別
應用級別-內核級別-硬件級別

目錄

  1. 1 工具簡介
  2. 2 定義
  3. 3 技術簡介
  1. 4 處理辦法
  2. 進程注入式
  3. 驅動級
  1. 5 危害
  2. 6 其它看法

rootkits工具簡介

在Windows操作系統上也已經出現了大量的Rootkits工具及使用
Rootkits技術編寫的軟件。這些Rootkits像就像一層鎧甲,將自身及指定的文件
保護起來,使其它軟件無法發現、修改或刪除這些文件。
打個比喻,帶有Rootkits的流氓軟件和病毒就像練就了“金鐘罩”、“鐵布
衫”,不除這種保護傘,各種殺毒軟件都無法對其進行徹底清除。

rootkits定義

Rootkits是linux/unix獲取root權限之後使得攻擊者可以隱藏自己的蹤跡和保留root訪問權限的神器,通常攻擊者使用 rootkit的檢查系統查看是否有其他的用户登錄,如果只有自己,攻擊者就開始着手清理日誌中的有關信息,通過rootkit的嗅探器還可以獲得其他系統的用户和密碼!

rootkits技術簡介

Rootkits通常分為:應用級別---內核級別----硬件級別,早期的是rootkit主要為應用級rootkit通過替換login、ps、ls、netstat等系統工具或修改.rhosts等系統配置文件等實現隱藏後門,硬件級RootKits主要是指Bios Rootkits,能夠在系統加載前獲得控制權,通過向磁盤中寫入文件,再由引導程序加載該文件重新獲得控制權也可以採用虛擬機技術,使整個操作系統運行在rootkit掌握之中,常見的rootkit是內核級rootkit,通過直接修改內核來添加隱藏代碼實現控制系統的功能。
第一種Rootkits技術
通常通過釋放動態鏈接庫(DLL)文件,並將它們注入到其它軟件及系統進程中運行,通過HOOK方式對消息進行攔截,阻止Windows及應用程序對被保護的文件進行訪問。
第二種Rootkits技術
較為複雜,其通過在Windows啓動時加載Rootkits驅動程序,獲取對Windows的控制權。當程序(Windows及殺毒軟件等)通過系統API及NTAPI訪問文件系統時進行監視,一但發現程序訪問被Rootkits保護的文件時返回一個虛假的結果,從而達到隱藏或鎖定文件的目的。

rootkits處理辦法

rootkits進程注入式

進程注入式Rootkits較好處理,通過使用殺毒軟件的開機掃描(又名Startup Scan、 BootScan)功能都可以輕鬆清除。

rootkits驅動級

驅動級的Rootkits,由於其加載的優先級別較高,現階段還沒有一個較好的解決辦法。大多數殺毒軟件在處理使用此類Rootkits技術的病毒時均出現漏查漏殺,清除失敗的現象。

rootkits危害

一種新的特洛伊木馬病毒的隱蔽技術是如此的高明,以至於一些安全研究人員稱,他們與惡意代碼作者的新一輪大戰即將開始。
賽門鐵克和F-Secure公司在最近的分析中表示,分別被它們稱之為“Rustock”和“mailbot”的這種新的惡意代碼採用了rootkit技術躲避來自安全軟件的檢測。據賽門鐵克公司的安全響應工程師伊利亞於上月末在其博客中寫道:它可能會被認為是新一代rootkits技術的誕生。Rustock.A將老技術和新創意集一體,其隱藏技術足以能夠躲過許多常用的檢測技術。

rootkits其它看法

Rootkits技術被認為是一種新的威脅
Rootkits技術被認為是一種新的威脅,它們常常使系統改變隱藏軟件,可能是惡意軟件。據賽門鐵克公司表示,在Rustock(mailbot)中,Rootkit技術常被用於隱藏一種在被感染的系統上開一個後門的特洛伊木馬病毒。據McAfee公司的病毒研究經理克萊格表示,在與安全軟件廠商的周旋中,這種最新的Rootkit技術的作者在編寫代碼前似乎對檢測工具的內部工作原理有更深的研究。據他表示,安全廠商們正在努力將電腦黑客擋在自己的後面,然而,這些電腦黑客們也掌握了安全公司的技術。許多技術被綜合用來強化這一惡意代碼,而黑客在隱蔽自己方面做得相當好。伊利亞也寫道:多種隱蔽技術的綜合運用能夠使Rustock在“被感染的計算機上幾乎不留下任何蛛絲馬跡”。
為了躲避檢測,Rustock的運行沒有使用系統進程,而是在驅動程序內核線程中運行自己的代碼。它使用的是交替的數據流而非隱藏的文件,而且也沒有使用API。據伊利亞表示,檢測工具會查找系統進程、隱藏的文件以及對API的調用。伊利亞還在其博客中寫道:Rustock還躲過了rootkit檢測工具對一些內核結構和隱藏的驅動程序。這個rootkit使用的SYS驅動程序具有多態形,代碼也會經常變化。
然而,據一些專家表示,人們受到這一rootkit及其特洛伊木馬病毒攻擊的機率還是非常低的。據克萊格表示,人們在博客中討論它的原因並非是它已經相當普及了,而是因為它給現有rootkit檢測工具帶來了一定的挑戰。F-Secure公司已經對其能夠檢測到當前惡意版本的BlackLight rootkit檢測工具進行了更新。賽門鐵克和McAfee公司仍然在開發檢測並從計算機上刪除這種最新rootkit的工具
最為簡單實用的應用級別Rootkit是通過將添加過提權代碼的命令替換系統中原始的命令來實現功能的,並且一般提供清理工具刪除wtmp、utmp、lastlog等日誌文件中自己的行蹤,並且複雜點的rootkit還可以向攻擊者提供telnel、shell和finger等服務