Lanmeng IT外包谈论为何难以检测和杀死“ Rootkit”恶意软件？

Rootkit是指主要功能是隐藏其他程序的进程的软件。它可能是一个或多个软件的组合；从广义上讲，Rootkit也可以视为一项技术。如今，Rootkit一词更多地是指作为驱动程序加载到操作系统内核中的恶意软件。由于其代码以特权登录到系统中。如果只有他本人，攻击者将开始清理日志中的相关信息。通过Rootkit嗅探器获取其他系统的用户和密码后，攻击者将使用此信息入侵其他系统。

以Linux系统为例。攻击者使用Rootkit中的相关程序替换了系统的原始ps，ls，netstat和df程序，因此系统管理员无法通过这些工具找到其踪迹。然后使用日志清理工具清理系统日志并消除痕迹。然后，攻击者通常会通过安装的后门进入系统，以检查嗅探器的日志以发起其他攻击。如果攻击者可以正确安装Rootkit并合理地清理日志文件，则系统管理员将很难注意到该系统已被入侵，直到有一天其他系统的管理员与他联系或嗅探器的日志被填满为止。磁盘。当吃饱了，他会意识到灾难即将来临。但是，大多数攻击者在清理系统日志或仅删除所有系统日志时并不十分小心。警惕的系统管理员可以根据这些异常情况来判断系统已被入侵。但是，在系统恢复和清理过程中，不再信任诸如ps，df和ls等最常用的命令。

Rootkit是一种特殊类型的恶意软件（恶意软件）。 Rootkit很特别，因为您不知道它们在做什么。 Rootkit基本上是不可检测的，几乎不可能删除它们。尽管检测工具继续增加，但恶意软件开发人员也在不断寻找新方法掩盖其足迹。 Rootkit的目的是隐藏自身和其他软件以免被发现。它可以通过阻止用户识别和删除攻击者的软件来实现。 Rootkit可以隐藏几乎所有软件，包括文件服务器，键盘记录程序，僵尸网络和Remailer。许多rootkit甚至可以隐藏大量文件，并允许攻击者将许多文件保存在您的计算机中，而您看不到这些文件。 Rootkit本身不会像病毒或蠕虫一样影响计算机的运行。攻击者可以在目标系统上找到现有漏洞。漏洞可能包括：打开的网络端口，未打补丁的系统或管理员密码薄弱的系统。在获得了易受攻击的系统的访问权限之后，攻击者可以手动安装rootkit。这种偷偷摸摸的攻击通常不会触发自动网络安全控制功能，例如入侵检测系统。

防止rootkit进入公司系统的主要安全元素包括病毒扫描程序，常规软件更新，主机和网络上的防火墙以及强大的密码策略。如果您想进一步了解如何防止rootkit，请联系Lanmeng IT外包以获取免费咨询。

文字/上海蓝梦IT外包专家

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-341689-1.html