Rootkit是(shi)一(yi)種(zhong)特(te)殊類型的malware(惡(e)(e)意軟(ruan)件(jian))。Rootkit之所以特(te)殊是(shi)因為(wei)您不(bu)知道它們在做什(shen)么事情。Rootkit基本上(shang)是(shi)無法檢測(ce)到的,而且幾乎不(bu)可能刪除(chu)它們。雖(sui)然(ran)檢測(ce)工具(ju)在不(bu)斷增(zeng)多,但是(shi)惡(e)(e)意軟(ruan)件(jian)的開發(fa)者(zhe)也在不(bu)斷尋找新的途(tu)徑來(lai)掩蓋他們的蹤跡(ji)。
Rootkit的(de)(de)目的(de)(de)在于隱(yin)(yin)藏自己以(yi)(yi)及其他軟(ruan)件(jian)不被(bei)發現。它可(ke)(ke)以(yi)(yi)通過阻止用戶識別和刪(shan)除攻擊者的(de)(de)軟(ruan)件(jian)來達到這個目的(de)(de)。Rootkit幾乎可(ke)(ke)以(yi)(yi)隱(yin)(yin)藏任何軟(ruan)件(jian),包括(kuo)文(wen)件(jian)服務器、鍵盤記(ji)錄器、Botnet和Remailer。許多(duo)Rootkit甚至可(ke)(ke)以(yi)(yi)隱(yin)(yin)藏大型的(de)(de)文(wen)件(jian)集合并允許攻擊者在您的(de)(de)計(ji)算(suan)機(ji)上保存許多(duo)文(wen)件(jian),而您無法看到這些文(wen)件(jian)。
Rootkit本(ben)身不會(hui)像病毒或蠕蟲(chong)那樣影響計(ji)算機的(de)(de)運行(xing)。攻(gong)擊者(zhe)可(ke)(ke)以(yi)(yi)找出(chu)目標系(xi)統上的(de)(de)現有漏(lou)洞(dong)。漏(lou)洞(dong)可(ke)(ke)能包(bao)括:開(kai)放(fang)的(de)(de)網絡(luo)端(duan)口、未(wei)打補丁(ding)的(de)(de)系(xi)統或者(zhe)具有脆弱的(de)(de)管理員(yuan)密碼(ma)的(de)(de)系(xi)統。在(zai)獲得存在(zai)漏(lou)洞(dong)的(de)(de)系(xi)統的(de)(de)訪(fang)問權限(xian)之后,攻(gong)擊者(zhe)便可(ke)(ke)手動(dong)安裝一個Rootkit。這種類型的(de)(de)偷偷摸摸的(de)(de)攻(gong)擊通(tong)常(chang)不會(hui)觸(chu)發自(zi)動(dong)執行(xing)的(de)(de)網絡(luo)安全控制功能,例(li)如(ru)入侵檢(jian)測系(xi)統。找出(chu)Rootkit十分困難(nan)。有一些軟(ruan)件(jian)包(bao)可(ke)(ke)以(yi)(yi)檢(jian)測Rootkit。這些軟(ruan)件(jian)包(bao)可(ke)(ke)劃分為以(yi)(yi)下兩類:基于簽(qian)名(ming)的(de)(de)檢(jian)查程(cheng)(cheng)序(xu)(xu)和基于行(xing)為的(de)(de)檢(jian)查程(cheng)(cheng)序(xu)(xu)。基于簽(qian)名(ming)(特(te)征碼(ma))的(de)(de)檢(jian)查程(cheng)(cheng)序(xu)(xu),例(li)如(ru)大多數病毒掃描程(cheng)(cheng)序(xu)(xu),會(hui)檢(jian)查二進制文件(jian)是否(fou)為已知的(de)(de)Rootkit。
基于行為(wei)的(de)(de)檢(jian)查(cha)程(cheng)序試圖通過查(cha)找(zhao)一些(xie)代表Rootkit主要行為(wei)的(de)(de)隱藏(zang)元(yuan)素(su)來(lai)找(zhao)出(chu)Rootkit。一個流(liu)行的(de)(de)基于行為(wei)的(de)(de)Rootkit檢(jian)查(cha)程(cheng)序是RootkitRevealer.在(zai)發現系統(tong)中存(cun)在(zai)Rootkit之后,能夠(gou)采取的(de)(de)補救措施也(ye)較為(wei)有限。由于Rootkit可以(yi)(yi)將自身隱藏(zang)起(qi)來(lai),所以(yi)(yi)您(nin)可能無法知道(dao)它們已經在(zai)系統(tong)中存(cun)在(zai)了多長(chang)的(de)(de)時間。而且您(nin)也(ye)不(bu)知道(dao)Rootkit已經對(dui)哪些(xie)信息造(zao)成了損(sun)害(hai)。對(dui)于找(zhao)出(chu)的(de)(de)Rootkit,最好的(de)(de)應對(dui)方法便是擦除并重新安裝(zhuang)系統(tong)。雖然這(zhe)種手(shou)段很嚴厲,但是這(zhe)是得(de)到證明的(de)(de)唯一可以(yi)(yi)徹(che)底(di)刪除Rootkit的(de)(de)方法。
防止Rootkit進入您的(de)系統是(shi)能夠使用的(de)最(zui)佳辦法(fa)。為(wei)了實現(xian)這(zhe)個目(mu)的(de),可以(yi)使用與防范所有攻(gong)擊(ji)計(ji)算機的(de)惡意軟件(jian)一樣的(de)深入防衛(wei)策略。深度防衛(wei)的(de)要素包(bao)括:病毒掃描程序、定期更新軟件(jian)、在主機和網絡上安裝防火(huo)墻,以(yi)及強密碼策略。