Rootkit是一種特殊類型的malware(惡意軟件)。Rootkit之所以特殊是因為您不知道它們在做什么事情。Rootkit基本上是無法檢測到的,而且幾乎不可能刪除它們。雖然檢測工具在不斷增多,但是惡意軟件的開發者也在不斷尋找新的途徑來掩蓋他們的蹤跡。
Rootkit的目的在于隱藏自己以及其他軟件不被發現。它可以通過阻止用戶識別和刪除攻擊者的軟件來達到這個目的。Rootkit幾乎可以隱藏任何軟件,包括文件服務器、鍵盤記錄器、Botnet和Remailer。許多Rootkit甚至可以隱藏大型的文件集合并允許攻擊者在您的計算機上保存許多文件,而您無法看到這些文件。
Rootkit本身不會像病毒或蠕蟲那樣影響計算機的運行。攻擊者可以找出目標系統上的現有漏洞。漏洞可能包括:開放的網絡端口、未打補丁的系統或者具有脆弱的管理員密碼的系統。在獲得存在漏洞的系統的訪問權限之后,攻擊者便可手動安裝一個Rootkit。這種類型的偷偷摸摸的攻擊通常不會觸發自動執行的網絡安全控制功能,例如入侵檢測系統。找出Rootkit十分困難。有一些軟件包可以檢測Rootkit。這些軟件包可劃分為以下兩類:基于簽名的檢查程序和基于行為的檢查程序。基于簽名(特征碼)的檢查程序,例如大多數病毒掃描程序,會檢查二進制文件是否為已知的Rootkit。
基于行為的檢查程序試圖通過查找一些代表Rootkit主要行為的隱藏元素來找出Rootkit。一個流行的基于行為的Rootkit檢查程序是RootkitRevealer.在發現系統中存在Rootkit之后,能夠采取的補救措施也較為有限。由于Rootkit可以將自身隱藏起來,所以您可能無法知道它們已經在系統中存在了多長的時間。而且您也不知道Rootkit已經對哪些信息造成了損害。對于找出的Rootkit,最好的應對方法便是擦除并重新安裝系統。雖然這種手段很嚴厲,但是這是得到證明的唯一可以徹底刪除Rootkit的方法。
防止Rootkit進入您的系統是能夠使用的最佳辦法。為了實現這個目的,可以使用與防范所有攻擊計算機的惡意軟件一樣的深入防衛策略。深度防衛的要素包括:病毒掃描程序、定期更新軟件、在主機和網絡上安裝防火墻,以及強密碼策略。
京公網安備
11010802035719號