Rootkit介绍

　　Rootkit 是一种特殊类型的 malware（恶意软件）。

      Rootkit是指其主要功能为：隐藏其他程序进程的软件，可能是一个或一个以上的软件组合；广义而言，Rootkit也可视为一项技术。在今天，Rootkit一词更多地是指被作为驱动程序，加载到操作系统内核中的恶意软件。因为其代码运行在特权模式之下，从而能造成意料之外的危险。最早Rootkit用于善意用途，但后来Rootkit也被黑客用在入侵和攻击他人的电脑系统上，电脑病毒、间谍软件等也常使用Rootkit来隐藏踪迹，因此Rootkit已被大多数的杀毒软件归类为具危害性的恶意软件。Linux、Windows、Mac OS等操作系统都有机会成为Rootkit的受害目标。

      在现代操作系统中，应用程序不能直接访问硬件，而是通过调用操作系统提供的接口来使用硬件，操作系统依赖内核空间来管理和调度这些应用。内核空间由四大部分组成，分别是：进程管理（负责分配Cpu时间）、文件访问（把设备调配成文件系统，并提供一个一致的接口供上层程序调用）、安全控制（负责强制规定各个进程的具体的权限和单独的内存范围，避免各进程之间发生冲突）和内存管理（负责进程运行时对内存资源的分配、使用、释放和回收）。内核是一种数据结构，Rootkit技术通过修改这些数据结构来隐藏其它程序的进程、文件、网络通讯和其它相关信息（比如注册表和可能因修改而产生的系统日志等）。例如，通过修改操作系统的EPROCESS链表结构可以达到隐藏进程的效果，挂钩服务调用表可以隐藏文件和目录，挂钩中断描述符表则可以监听键盘击键等等。Rootkit至今仍然是一个发展中的技术领域。

什么是rootkit？Rootkit 定义

术语 rootkit 是单词“root”和“kit”的组合。root是具有操作系统管理员身份的用户帐户。同时，“kit”是指一套软件工具。因此，rootkit 是一组工具，可以为某人提供系统中的最高权限。 

Rootkit 特别危险，因为它们旨在隐藏它们在设备上的存在。如果将 rootkit 安装到您的机器上（通常通过网络钓鱼），攻击者可以远程访问和控制您。因为它们启用根级访问，rootkit 可用于执行诸如停用防病毒软件、监视您的活动、窃取敏感数据或在设备上执行其他恶意软件等高权限操作。 

Rootkit 是病毒吗？

与流行的看法相反，rootkit 不是病毒——它是恶意软件。诚然，这听起来可能令人困惑。病毒只是一种恶意软件，病毒只会破坏数据， Rootkit 要高级得多。利用行为启发式等安全技术的现代防病毒软件可以修复不同类型的恶意软件，从病毒和蠕虫到勒索软件、特洛伊木马，甚至一些 Rootkit 。

为什么 Rootkit 如此危险？

• 伪装： Rootkit 感染可以通过欺骗性威胁载体传播，例如来源不明的文件下载、垃圾邮件和漏洞利用工具包。某些 Rootkit 甚至依靠Perkiler 恶意软件等特洛伊木马来破坏系统的安全性。
• 隐蔽：与其他类型的恶意软件不同，隐藏得很深的 Rootkit 不会表现出很多症状。它甚至可能绕过您的安全软件，使补救变得具有挑战性。某些 Rootkit 只能通过格式化存储驱动器并重新安装操作系统来删除。
• 强大：一些专家将 Rootkit 称为恶意软件的瑞士军刀，因为它们具有多种功能。一些 Rootkit 工具可以窃取登录凭据和财务数据、禁用安全协议、记录击键等。其他 Rootkit 可以让黑客获得对系统的后门访问权限并植入更多恶意软件。借助正确的 Rootkit，黑客可以将系统变成机器人以形成僵尸网络，以便对网站发起 DDoS（分布式拒绝服务）攻击。

Rootkit 的类型

引导程序rootkit

一旦您打开计算机，它的引导加载程序就会加载操作系统。引导加载程序 rootkit 会渗透此机制，在操作系统准备好使用之前用恶意软件感染您的计算机。得益于安全启动等安全功能，如今 Bootloader rootkit 已不再是威胁。

固件rootkit

固件是一种软件，可以对其为其编写的硬件提供基本控制。所有类型的设备，从手机到洗衣机，都可以有固件。固件 Rootkit 很难找到，因为它隐藏在固件中，而网络安全工具通常不会在固件中查找恶意软件。

内核 Rootkit

操作系统的内核有点像它的神经系统。它是协助基本功能的关键层。内核 Rootkit 可能是灾难性的，因为它会攻击您计算机的核心组件，并让威胁参与者对系统具有重大控制权。

内存rootkit

内存 Rootkit 驻留在您计算机的 RAM 中，在执行恶意任务时会减慢您的计算机速度。您通常可以通过重新启动计算机来清除内存 Rootkit，因为简单的重新启动会清除计算机内存中的所有进程。

应用程序rootkit

应用程序 rootkit 可能会使用 rootkit 代码修改您的常规文件，使 rootkit 的作者在您每次运行受感染文件时都能访问您的计算机。然而，这种类型的恶意软件更容易被发现，因为携带此类 Rootkit 的文件可能表现异常。此外，您的安全工具更有可能识别它们。

什么是 Rootkit 攻击？

Rootkit 攻击是威胁行为者对您的系统使用 Rootkit 的攻击。如上所述，rootkit 可以通过手机应用程序等受感染的下载进行传播。更具针对性的 Rootkit 攻击使用网络钓鱼电子邮件等社会工程学作为攻击媒介。

一些复杂的 Rootkit 攻击更难执行。例如，威胁参与者可能需要使用受感染的驱动器在您的操作系统上安装 Bootloader rootkit。

如何检测和删除 Rootkit？

Rootkit 不易被发现，因为它们具有隐蔽性。此外，一些 Rootkit 可以绕过网络安全软件。不过，rootkit 可能会出现一些症状：

#1 系统崩溃：感染计算机引导加载程序、硬盘驱动器、BIOS 或应用程序的 Rootkit 可能会导致系统崩溃软件冲突。

#2 软件故障：您是否注意到速度变慢、神秘的设置更改或 Web 浏览器故障？Rootkit 可能会导致此类问题。

#3 防病毒软件崩溃：如果您的防病毒软件无故停用，请尝试使用反 Rootkit 扫描来搜索恶意软件。之后，重新安装您的网络安全软件。

如何阻止 Rootkit 恶意软件感染您的系统

主动保护您的设备免受所有类型的恶意软件攻击非常重要，而 Rootkit 恶意软件是一种特别严重的威胁。您可以采取以下步骤来确保安全：

• 扫描您的系统：定期使用高级威胁扫描器定期扫描您的设备是否存在威胁。
  
• 小心网络钓鱼尝试：小心您点击和下载的内容。电子邮件网络钓鱼攻击已经变得非常复杂，网络钓鱼尝试可能看起来与来自您信任的人（例如您的银行或最喜欢的零售商）的合法电子邮件几乎相同。始终检查发件人的电子邮件地址以确保它来自合法域（例如来自 paypal.com 的 PayPal 电子邮件），如果您有任何疑问电子邮件可能是网络钓鱼尝试，您可以将其转发给声称的发件人去看一看。还要注意来自未知号码的短信链接。 
• 更新您的软件：软件更新有时会在当您正在处理其他事情的时候出现，但许多更新包括针对安全问题的修复，最好保持您的软件能够更新到最新。 
• 使用高级防病毒/反恶意软件：高级防病毒和反恶意软件保护，利用多种不同的方法来检测和阻止威胁进入您的设备。这是防止各种威胁和恶意软件类型的关键步骤。