Rootkit是一種特殊類(lèi)型的malware(惡意軟件)。Rootkit之所以特殊是因?yàn)槟恢浪鼈冊(cè)谧鍪裁词虑椤ootkit基本上是無(wú)法檢測(cè)到的,而且?guī)缀醪豢赡軇h除它們。雖然檢測(cè)工具在不斷增多,但是惡意軟件的開(kāi)發(fā)者也在不斷尋找新的途徑來(lái)掩蓋他們的蹤跡。
Rootkit的目的在于隱藏自己以及其他軟件不被發(fā)現(xiàn)。它可以通過(guò)阻止用戶(hù)識(shí)別和刪除攻擊者的軟件來(lái)達(dá)到這個(gè)目的。Rootkit幾乎可以隱藏任何軟件,包括文件服務(wù)器、鍵盤(pán)記錄器、Botnet和Remailer。許多Rootkit甚至可以隱藏大型的文件集合并允許攻擊者在您的計(jì)算機(jī)上保存許多文件,而您無(wú)法看到這些文件。
Rootkit本身不會(huì)像病毒或蠕蟲(chóng)那樣影響計(jì)算機(jī)的運(yùn)行。攻擊者可以找出目標(biāo)系統(tǒng)上的現(xiàn)有漏洞。漏洞可能包括:開(kāi)放的網(wǎng)絡(luò)端口、未打補(bǔ)丁的系統(tǒng)或者具有脆弱的管理員密碼的系統(tǒng)。在獲得存在漏洞的系統(tǒng)的訪(fǎng)問(wèn)權(quán)限之后,攻擊者便可手動(dòng)安裝一個(gè)Rootkit。這種類(lèi)型的偷偷摸摸的攻擊通常不會(huì)觸發(fā)自動(dòng)執(zhí)行的網(wǎng)絡(luò)安全控制功能,例如入侵檢測(cè)系統(tǒng)。找出Rootkit十分困難。有一些軟件包可以檢測(cè)Rootkit。這些軟件包可劃分為以下兩類(lèi):基于簽名的檢查程序和基于行為的檢查程序。基于簽名(特征碼)的檢查程序,例如大多數(shù)病毒掃描程序,會(huì)檢查二進(jìn)制文件是否為已知的Rootkit。
基于行為的檢查程序試圖通過(guò)查找一些代表Rootkit主要行為的隱藏元素來(lái)找出Rootkit。一個(gè)流行的基于行為的Rootkit檢查程序是RootkitRevealer.在發(fā)現(xiàn)系統(tǒng)中存在Rootkit之后,能夠采取的補(bǔ)救措施也較為有限。由于Rootkit可以將自身隱藏起來(lái),所以您可能無(wú)法知道它們已經(jīng)在系統(tǒng)中存在了多長(zhǎng)的時(shí)間。而且您也不知道Rootkit已經(jīng)對(duì)哪些信息造成了損害。對(duì)于找出的Rootkit,最好的應(yīng)對(duì)方法便是擦除并重新安裝系統(tǒng)。雖然這種手段很?chē)?yán)厲,但是這是得到證明的唯一可以徹底刪除Rootkit的方法。
防止Rootkit進(jìn)入您的系統(tǒng)是能夠使用的最佳辦法。為了實(shí)現(xiàn)這個(gè)目的,可以使用與防范所有攻擊計(jì)算機(jī)的惡意軟件一樣的深入防衛(wèi)策略。深度防衛(wèi)的要素包括:病毒掃描程序、定期更新軟件、在主機(jī)和網(wǎng)絡(luò)上安裝防火墻,以及強(qiáng)密碼策略。