Rootkit 的目的在于隐藏自己以及其他软件不被发现.它可以通过阻止用户识别和删除攻击者的软件来达到这个目的.Rootkit 几乎可以隐藏任何软件,包括文件服务器、键盘记录器、Botnet 和 Remailer.许多 Rootkit 甚至可以隐藏大型的文件集合并允许攻击者在您的计算机上保存许多文件,而您无法看到这些文件.
Rootkit 本身不会像病毒或蠕虫那样影响计算机的运行.攻击者可以找出目标系统上的现有漏洞.漏洞可能包括:开放的网络端口、未打补丁的系统或者具有脆弱的管理员密码的系统.在获得存在漏洞的系统的访问权限之后,攻击者便可手动安装一个 Rootkit.这种类型的偷偷摸摸的攻击通常不会触发自动执行的网络安全控制功能,例如入侵检测系统.
找出 Rootkit 十分困难.有一些软件包可以检测 Rootkit.这些软件包可划分为以下两类:基于签名的检查程序和基于行为的检查程序.基于签名(特征码)的检查程序,例如大多数病毒扫描程序,会检查二进制文件是否为已知的 Rootkit.基于行为的检查程序试图通过查找一些代表 Rootkit 主要行为的隐藏元素来找出 Rootkit.一个流行的基于行为的 Rootkit 检查程序是 Rootkit Revealer.
在发现系统中存在 Rootkit 之后,能够采取的补救措施也较为有限.由于 Rootkit 可以将自身隐藏起来,所以您可能无法知道它们已经在系统中存在了多长的时间.而且您也不知道 Rootkit 已经对哪些信息造成了损害.对于找出的 Rootkit,最好的应对方法便是擦除并重新安装系统.虽然这种手段很严厉,但是这是得到证明的唯一可以彻底删除 Rootkit 的方法.
防止 Rootkit 进入您的系统是能够使用的最佳办法.为了实现这个目的,可以使用与防范所有攻击计算机的恶意软件一样的深入防卫策略.深度防卫的要素包括:病毒扫描程序、定期更新软件、在主机和网络上安装防火墙,以及强密码策略
一种新的扫描技术,是卡巴斯基独有的杀毒模块。
rootkit基本是由几个独立程序组成,一个典型rootkit包括: 以太网嗅探器程程序,用于获得网络上传输的用户名和密码等信息。
还包括一些日志清理工具,攻击者用其删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。 复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。
扩展资料:ROOTKIT扫描可以隐藏计算机中应用程序的软件。Rootkit悄悄地把自己安装在用户的计算机中,隐藏自己的进程、文件、网络通讯和其它可能暴露自己的信息。Rootkit一般隐藏能够让黑客可以轻松找回被控制计算机的工具。
黑客用工具集来掩饰对计算机网络的入侵并获得管理员访问权限。一旦黑客获得管理员访问权限,就会利用已知的漏洞或者破解密码来安装rootkit。
rootkit扫描是专门针对rootkit进行的一种优化式的扫描方式。如果在其他扫描中开启了启发分析器,也会检测rootkit的。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)