Rootkit 是目前市場上最先進的惡意軟件類型之一。多年來,安全解決方案在檢測和清除方面一直舉步維艱,這主要是因為 Rootkit 在很大程度上破壞了操作系統,使反惡意軟件解決方案和操作系統本身都無法發現它們的存在。
什麼是 Rootkit 及其工作原理?
Rootkit 是 "root "和 "kit "的縮寫,"root "是指 Unix 操作系統中權限最高的用户,"kit "是指製作 Rootkit 的一系列軟件工具。Rootkit 可追溯到上世紀 90 年代初,當時主要針對 Sun 和 Linux,但隨着新操作系統的出現,1999 年和2009.年分別出現了針對 Windows 和 Mac 的 Rootkit。
與傳統惡意軟件不同的是,rootkit 在其感染的計算機中引入了一個基本缺陷。它們不會破壞文件或文件夾。相反,它們會根據創建者的需要改變操作系統向你報告的一切。
Rootkit 根據其作用範圍可分為兩大類:用户模式 rootkit 和內核模式 rootkit。
為了瞭解它們是如何入侵操作系統的,我們首先要了解操作系統是如何工作的。計算機上的所有應用程序都是通過操作系統的 API(應用程序接口)調用函數進行通信的。用户模式驅動程序會掛鈎導入地址表(程序需要操作系統內核執行的 API 或系統功能的所有地址列表)。
內核模式 rootkit 使用附着在內核上的系統驅動程序,在用户應用程序和操作系統之間 "中間 "調用 API。安裝後,rootkit 驅動程序會重定向系統函數調用,從而執行自己的代碼,而不是內核代碼。因此,當你打開一個文件夾查看其內容時,通常是向內核詢問相應文件夾中的文件數量。然而,rootkit 可以攔截你的請求,並報告文件夾中的所有文件,除了一些惡意文件。你、你的操作系統或反惡意軟件解決方案甚至都不會知道相關文件夾中曾經存在過某些文件。
通過使用 rootkit,黑客對你的電腦和軟件擁有完全的管理員權限,可以方便地訪問日誌、監控你的活動、竊取私人信息和文件,以及擾亂配置。在你毫不知情的情況下,你的所有密碼和信息都會被他們竊取。
Rootkit 如何進入我的電腦?
儘管 Rootkit 是迄今為止最危險的電子威脅之一,但它們本身並不能正常工作,它們需要一個感染載體來傳播和安裝。黑客利用木馬或操作系統漏洞植入 rootkit。但是,它們一旦進入系統,往往就會攜帶間諜軟件、蠕蟲、鍵盤記錄程序或計算機病毒,將你的電腦變成毫無價值的殭屍。黑客隨後可以利用它對第三方,甚至是你的聯繫人發起 DoS 攻擊、垃圾郵件和網絡釣魚活動。通過 root 訪問操作系統,你的電腦就會被黑客完全控制,即使是最有經驗的技術專家也很難立即發現 rootkit。
但是,rootkit 並不總是惡意的,在某些情況下,它們會被用於作弊目的,如破壞版權和防盜保護。另一方面,眾所周知,索尼和聯想等公司曾在用户設備中植入 rootkit,以重新安裝不需要的軟件或作為數字版權管理的一部分。雖然植入的初衷是無害的,但這些漏洞一旦被發現,就很容易被黑客利用。
紅旗、清除、預防
檢測 rootkit 是一項艱鉅的任務,而且可能證明是不可能的,因為它們完全控制着你的電腦,包括你可能選擇用來清除 rootkit 感染的任何軟件。如果你是一個精通技術的受害者,你可以採取一些步驟,如簽名掃描或內存轉儲分析,但如果 rootkit 已經佔據了內核內存(也就是操作系統的大腦),那就認輸吧。格式化硬盤並重新安裝操作系統。
你現在可能已經發現,rootkit 是如此複雜,以至於不重新安裝就無法擺脱它們。事實上,你甚至可能直到為時已晚才發現它們,或者你試圖運行殺毒軟件掃描,但它不允許你的殺毒軟件啓動。
為了避免丟失所有數據,請務必養成一些適當的網上瀏覽習慣: