[b]什么是Rootkit[/b]
Rootkit这个名词通常用来描述恶意软件(包括病毒、间谍软件以及木马等)用于尝试在反间谍软件、杀毒软件和系统管理工具面前隐匿其行迹的机制和技术。
根据恶意软件是否需要系统重启以及其运行的模式(用户模式/核心模式),Rootkit有几种分类。
[i]Persistent Rootkits
[/i] 有的恶意软件每次系统引导都会被激活,与这类软件相关的,叫做PersistentRootkit。由于这类恶意软件包含有必须在每次系统启动或用户登陆的时候执行的代码,他们将必须在注册表或文件系统等这类持久的存储中保存代码,而且需要配置一个无需用户干预即可执行代码的方法。
[i]Memory-Based Rootkits
[/i] 顾名思义,基于内存的Rootkits。这类恶意软件没有永久性的代码,所以也不能在重启后继续存在。
[i]User-Mode Rootkits
[/i] 用户模式的Rootkits
Rootkits可以用来尝试躲避侦测的方法有很多,例如,一个用户模式的也许会拦截所有对Windows APIFindFirstFile()和FindNextFile()的调用,而这两个API函数是被文件系统浏览工具,包括Explorer(explorer.exe,windows的默认外壳程序,简单地说,从我们登陆windows开始,就在跟它打交道)以及命令提示符界面,用来列出文件系统目录的内容的。那么当一个应用程序试图列出某个目录的内容,而这些内容包含有与Rootkit有关的文件条目时,Rootkit将拦截调用,并修改函数的执行结果来去除这些条目。
Windows nativeAPI就如同处于用户模式的客户端和处于核心模式的系统服务之间的接口,而更老到的用户模式Rootkit拦截NativeAPI的那些文件系统、注册表和进程枚举函数。这将使他们免于因扫描程序比较Windows API枚举和Native API枚举的结果而被发现。
[i]Kernel-Mode Rootkits[/i]
核心模式的Rootkits更加强大,因为它们不仅能在核心模式拦截nativeAPI,而且能够直接操作核心模式的数据结构。例如,一项隐藏恶意软件进程行迹的通用技术是将进程从系统核心的活动进程列表中删除。因为进程管理API依赖于该列表的内容,所以使用该技术的恶意软件,其进程将不会在诸如任务管理器或ProcessExplorer(想知道这个是什么的,google搜索Procexp即可,微软的官网上也另有提及)等这类进程管理工具中显示出来。
---------------------------------------------------
以上内容节译自微软官方站点([url=http://www.microsoft.com/technet/sysinternals/Utilities/RootkitRevealer.mspx]http://www.microsoft.com/technet/sysinternals/Utilities/RootkitRevealer.mspx[/url])。
今天我也才知道有这么号东西,所以弄上来给大家看看。总而言之Rootkit就是恶意软件用来掩盖自己存在的一类技术。事实上微软官网的这个页面,是用来介绍Rootkit检测软件RootkitRevealer的。这个工具可以检测出系统中所有已经在[url=http://www.rootkits.com/]www.rootkits.com发布过的[/url]rootkit机制,从而有助于挖掘出各种深藏的顽固的恶意软件。
至于Process Explorer,那是另一个利器,可以用来查看可疑进程、dll和驱动程序。
嗯,相关的下载:
[b]Rootkit Revealer[/b]: [url=http://www.onlinedown.net/soft/46796.htm]http://www.onlinedown.net/soft/46796.htm[/url] (这个点开以后自己选择合适的下载点,华军软件园,来源还是可靠的;或者上面那个微软页面上也可以直接下载)
[b]Process Explorer[/b]: [url=http://download.sysinternals.com/Files/ProcessExplorer.zip]http://download.sysinternals.com/Files/ProcessExplorer.zip[/url]
(微软官网上的相关内容:[u][/u][url=http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.mspx]http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.mspx[/url])
