浅谈rootkit

什么是rootkit呢，似乎是个很神秘的东西，是为数不多的没有中文名称的恶意程序。

 

rootkit是系统安全的大敌，但rootkit的可怕之处不在于它的破坏作用，rootkit通常会修改操作系统，但一般不会破坏用户的系统和数据。rootkit的主要作用是：

 

1，隐藏入侵者在系统中留下的痕迹。

2，隐藏入侵者在系统中植入的其它程序。

3，帮助入侵者提升系统访问权限，以管理员身份执行系统任务（这也是rootkit一词的由来，因为rootkit最早出现于UNIX系统，入侵者通过rootkit获取root权限，现在rootkit也常见于Windows系统之中）。

4，在系统中留下后门，方便入侵者的后续访问。

 

从上面的一些特点可以看出，rootkit很像比较高级的木马程序。

 

rootkit最让人头痛的地方在于它隐藏得比较好，不容易被安全软件检测和清除。rootkit可能会修改系统内核，拦截系统和应用对某些文件的访问，从而达到隐藏自己和其它恶意程序的目的，如果通过常规的系统调用去检测rootkit，不容易发现它，也无法彻底清除它。比较好的做法是采用非常规手段去读取rootkit的数据，像Symantec的防病毒软件中就集成了自己的卷管理模块，可以绕过操作系统去直接读取磁盘上的数据，从而可以更好地检测和清除rootkit一类的安全威胁。

本文出自 “西蒙[爱生活，爱学习]” 博客，谢绝转载！