rootkits

Rootkits最早是一组用于UNIX操作系统的工具集，黑客使用它们隐藏入侵活

动的痕迹,它能在操作系统中隐藏恶意程序。这些程序在植入系统后，rootkits 将会它们

隐藏起来，它能隐藏任何恶意程序过程、文件夹、注册码。

目前，在Windows操作系统上也已经出现了大量的Rootkits工具及使用

Rootkits技术编写的软件。这些Rootkits像就像一层铠甲，将自身及指定的文件

保护起来，使其它软件无法发现、修改或删除这些文件。

打个比喻，带有Rootkits的流氓软件和病毒就像练就了“金钟罩”、“铁布

衫”，不除这种保护伞，各种杀毒软件都无法对其进行彻底清除。

二、Rootkits的类型及常见处理方式

Rootkits主要分为两大类：一种是进程注入式Rootkits，另一种是驱动级

Rootkits。

第一种Rootkits技术通常通过释放动态链接库（DLL）文件，并将它们注入到

其它软件及系统进程中运行，通过HOOK方式对消息进行拦截，阻止Windows及应用

程序对被保护的文件进行访问。

第二种Rootkits技术较为复杂，其通过在Windows启动时加载Rootkits驱动程

序，获取对Windows的控制权。当程序（Windows及杀毒软件等）通过系统API及

NTAPI访问文件系统时进行监视，一但发现程序访问被Rootkits保护的文件时返回

一个虚假的结果，从而达到隐藏或锁定文件的目的。

进程注入式Rootkits较好处理，通过使用杀毒软件的开机扫描

（又名Startup Scan、 BootScan）功能都可以轻松清除。然而，对于第二种通过

驱动级的Rootkits，由于其加载的优先级别较高，现阶段还没有一个较好的解决办

法。大多数杀毒软件在处理使用此类Rootkits技术的病毒时均出现漏查漏杀，清除

失败的现象。

一种新的特洛伊木马病毒的隐蔽技术是如此的高明，以至于一些安全研究人员称，他们与恶意代码作者的新一轮大战即将开始。

据赛门铁克和F-Secure公司在最近的分析中表示，分别被它们称之为“Rustock”和“Mailbot.AZ”的这种新的恶意代码采用了rootkit技术躲避来自安全软件的检测。据赛门铁克公司的安全响应工程师伊利亚于上月末在其博客中写道：它可能会被认为是新一代rootkits技术的诞生。Rustock.A将老技术和新创意集一体，其隐藏技术足以能够躲过许多常用的检测技术。

Rootkits技术被认为是一种新的威胁，它们常常使系统改变隐藏软件，可能是恶意软件。据赛门铁克公司表示，在Rustock(Mailbot.AZ)中，Rootkit技术常被用于隐藏一种在被感染的系统上开一个后门的特洛伊木马病毒。据McAfee公司的病毒研究经理克莱格表示，在与安全软件厂商的周旋中，这种最新的Rootkit技术的作者在编写代码前似乎对检测工具的内部工作原理有更深的研究。据他表示，安全厂商们正在努力将电脑黑客挡在自己的后面，然而，这些电脑黑客们也掌握了安全公司的技术。许多技术被综合用来强化这一恶意代码，而黑客在隐蔽自己方面做得相当好。伊利亚也写道：多种隐蔽技术的综合运用能够使Rustock在“被感染的计算机上几乎不留下任何蛛丝马迹”。

为了躲避检测，Rustock的运行没有使用系统进程，而是在驱动程序和内核线程中运行自己的代码。它使用的是交替的数据流而非隐藏的文件，而且也没有使用API。据伊利亚表示，目前的检测工具会查找系统进程、隐藏的文件以及对API的调用。伊利亚还在其博客中写道：Rustock还躲过了rootkit检测工具对一些内核结构和隐藏的驱动程序。这个rootkit使用的SYS驱动程序具有多态形，代码也会经常变化。

然而，据一些专家表示，人们受到这一rootkit及其特洛伊木马病毒攻击的机率还是非常低的。据克莱格表示，人们在博客中讨论它的原因并非是它已经相当普及了，而是因为它给现有rootkit检测工具带来了一定的挑战。F-Secure公司已经对其能够检测到当前恶意版本的BlackLight rootkit检测工具进行了更新。赛门铁克和McAfee公司仍然在开发检测并从计算机上删除这种最新rootkit的工具