Rootkit是指其主要功能為:隱藏其他程式行程的軟體, 可能是一個或一個以上的軟體組合;廣義而言,Rootkit也可視為一項技術。在今天,Rootkit一詞更多地是指被作為驅動程序,載入到作業系統核心 中的惡意軟體。因為其代碼運行在特權模式之下,從而能造成意料之外的危險。最早Rootkit用於善意用途,但後來Rootkit也被駭客用在入侵和攻擊他人的電腦系統上,電腦病毒、間諜軟體等也常使用Rootkit來隱藏蹤跡,因此Rootkit已被大多數的防毒軟體歸類為具危害性的惡意軟體。Linux、Windows、Mac OS等作業系統都有機會成為Rootkit的受害目標。
在現代作業系統中,應用程序不能直接訪問硬體,而是通過調用作業系統提供的介面來使用硬體,作業系統依賴核心空間來管理和調度這些應用。核心空間由四大部分組成,分別是:進程管理(負責分配Cpu時間)、文件訪問(把設備調配成文件系統,並提供一個一致的介面供上層程序調用)、安全控制(負責強制規定各個進程的具體的許可權和單獨的內存範圍,避免各進程之間發生衝突)和內存管理(負責進程運行時對內存資源的分配、使用、釋放和回收)。核心是一種資料結構,Rootkit技術通過修改這些資料結構來隱藏其它程式的進程、文件、網路通訊和其它相關信息(比如註冊表和可能因修改而產生的系統日誌等)。例如,通過修改作業系統的EPROCESS鏈表結構可以達到隱藏進程的效果,掛鈎服務調用表可以隱藏文件和目錄,掛鈎中斷描述符表則可以監聽鍵盤擊鍵等等。Rootkit至今仍然是一個發展中的技術領域。
2005年的Sony BMG CD防拷醜聞即因Sony被人揭發暗中使用了Rootkit技術來防止盜版,有侵害用戶隱私之嫌,並可能對用戶系統造成威脅,因而引發軒然大波。Rootkit一詞也從此事件開始更廣為一般大眾所知。
[编辑] 歷史
Rootkit一詞最早出現在Unix系統上。系統入侵者為了取得系統管理員級的root權限,或者為了清除被系統記錄的入侵痕跡,會重新組譯一些軟體工具(術語稱為kit),例如ps、netstat、w、passwd等等,這些軟體即稱作Rootkit。其後類似的入侵技術或概念在其他的作業系統上也被發展出來,主要是檔案、行程、系統記錄的隱藏技術,以及網路封包、鍵盤輸入的攔截竊聽技術等,許多木馬程式都使用了這些技術,因此木馬程式也可視為Rootkit的一種。
[编辑] 免費Rootkit清除工具
芬蘭防毒軟體公司F-Secure於2005年推出了F-Secure BlackLight Rootkit移除工具,並將其功能整合進公司的產品線中,開放免費下載。F-Secure是目前國際防毒評測組織AV-Comparatives所認定排名第一的防毒軟體,曾獲得全球「2010年度最佳防毒產品」(Product of the Year),以「四核心防毒引擎」加上「雲端即時保護網路」為其特色。
F-Secure BlackLight Rootkit免費移除工具,下載網址:http://www.f-secure.com/en_EMEA-Labs/security-threats/tools/blacklight/
留言