“黑”语字典:ROOTKIT
网络安全
微软公司安全部门的高级官员透露:从Windows XP SP2清除的恶意软件中,超过20%是暗中入侵的Rootkit。Rootkit是一种集合了系统间谍程序、病毒以及木马等特性的一种恶意程序,它利用操作系统的模块化技术,作为系统内核的一部分进行运行,有些Rootkit可以通过替换DLL文件或更改系统来攻击Windows平台。
由于它具有了功能强大、隐藏性非常好等特点,一旦被安装到远程系统中,这个系统就会完全被黑客控制,有的时候甚至无法找到Rootkit被安装过的痕迹,所以黑客用它来获取远程计算机的未经授权的远程访问权限,从而发动远程攻击,给用户带来了严重的安全威胁。为了躲避检测,Rootkit的运行没有使用系统进程,而是在驱动程序和内核线程中运行自己的代码。它使用的是交替的数据流而非隐藏的文件,而且也没有使用API。
案例
随着杀毒软件查杀能力的提高,黑客经常使用RADMIN等远程控制工具入侵,这样做最大的优点就是不会被杀毒软件查杀,但是缺点就是这些软件都有自己的进程,这些进程无法进行隐藏。
现在有了Rootkit以后,黑客就可以利用它来隐藏RADMIN的文件夹、文件、进程、端口、注册表等所有和它相关的信息内容,使得用户无法检测到RADMIN的存在。
简单防御方法
Rootkit的强大功能和危害性我已经不想再叙述了,下面我们来看看如何防范Rootkit这种后门程序。其实使用阻止其它恶意软件的方法同样可以防止Rootkit。
使用防火墙封锁经常被黑客攻破的Windows TCP端口,比如135、139、443和445端口等。如果一台计算机需要使用上述端口,防火墙应该确定哪台计算机可以通过这个端口远程接入这台计算机,而不是把端口完全敞开。
用户使用的计算机都应该一直拥有最新的安全更新,并且每一天都更新杀毒软件的病毒库,并随时开启杀毒软件的实时监控功能。
除了杀毒软件之外,用户至少还需要安装反间谍软件工具,如Spy Sweeper、Ad-Aware等,并定时更新扫描系统。
最后一条,就是用户需要养成良好的上网习惯。用户不要随意点击互联网广告、陌生人发来的链接或者发来的电子邮件的附件。