詞語(yǔ)解釋
Rootkit是一種惡意軟件,它的主要目的是攻擊系統(tǒng),收集敏感信息,并在不被發(fā)現(xiàn)的情況下控制系統(tǒng)。它通常被安裝在操作系統(tǒng)的根目錄,以便隱藏惡意行為,并防止檢測(cè)和移除。 Rootkit在通信中的含義是指一種可以繞過(guò)系統(tǒng)安全控制的惡意軟件,它可以收集系統(tǒng)數(shù)據(jù),控制系統(tǒng),破壞系統(tǒng)安全,甚至可以控制遠(yuǎn)程系統(tǒng)。它可以通過(guò)網(wǎng)絡(luò)傳播,以便攻擊目標(biāo)系統(tǒng),并獲取系統(tǒng)數(shù)據(jù)。 Rootkit的應(yīng)用非常廣泛,它可以用于竊取用戶的私人信息,例如登錄憑據(jù),密碼,信用卡號(hào)等,甚至可以用于安裝其他惡意軟件,如木馬,間諜軟件等。它還可以用于攻擊網(wǎng)絡(luò)服務(wù)器,例如Web服務(wù)器,數(shù)據(jù)庫(kù)服務(wù)器等,以便獲取敏感信息,控制系統(tǒng),拒絕服務(wù)等。 Rootkit也可以用于攻擊操作系統(tǒng),例如Windows,Linux等,它可以通過(guò)攻擊操作系統(tǒng)的內(nèi)核,以便獲取系統(tǒng)的控制權(quán),并安裝其他惡意軟件,如木馬,間諜軟件等。 Rootkit也可以用于攻擊網(wǎng)絡(luò)安全設(shè)備,如防火墻,入侵檢測(cè)系統(tǒng),入侵防御系統(tǒng)等,以便繞過(guò)安全控制,獲取網(wǎng)絡(luò)數(shù)據(jù),控制網(wǎng)絡(luò),破壞網(wǎng)絡(luò)安全等。 總之,Rootkit是一種惡意軟件,它可以繞過(guò)系統(tǒng)安全控制,收集敏感信息,控制系統(tǒng),攻擊網(wǎng)絡(luò)服務(wù)器,攻擊操作系統(tǒng),攻擊網(wǎng)絡(luò)安全設(shè)備等,以便獲取系統(tǒng)數(shù)據(jù),控制系統(tǒng),破壞系統(tǒng)安全,甚至可以控制遠(yuǎn)程系統(tǒng)。 在網(wǎng)絡(luò)安全中經(jīng)常會(huì)遇到rootkit,NSA安全和入侵檢測(cè)術(shù)語(yǔ)字典( NSA Glossary of Terms Used in Security and Intrusion Detection)對(duì)rootkit的定義如下:A hacker security tool that captures passwords and message traffic to and from a computer. A collection of tools that allows a hacker to provide a backdoor into a system, collect information on other systems on the network,mask the fact that the system is compromised, and much more. Rootkit is a classic example of Trojan Horse software. Rootkit is available for a wide range of operating systems. 好多人有一個(gè)誤解,他們認(rèn)為rootkit是用作獲得系統(tǒng)root訪問(wèn)權(quán)限的工具。實(shí)際上,rootkit是攻擊者用來(lái)隱藏自己的蹤跡和保留root訪問(wèn)權(quán)限的工具。通常,攻擊者通過(guò)遠(yuǎn)程攻擊獲得root訪問(wèn)權(quán)限,或者首先密碼猜測(cè)或者密碼強(qiáng)制破譯的方式獲得系統(tǒng)的訪問(wèn)權(quán)限。進(jìn)入系統(tǒng)后,如果他還沒(méi)有獲得root權(quán)限,再通過(guò)某些安全漏洞獲得系統(tǒng)的root權(quán)限。接著,攻擊者會(huì)在侵入的主機(jī)中安裝rootkit,然后他將經(jīng)常通過(guò)rootkit的后門檢查系統(tǒng)是否有其他的用戶登錄,如果只有自己,攻擊者就開(kāi)始著手清理日志中的有關(guān)信息。通過(guò)rootkit的嗅探器獲得其它系統(tǒng)的用戶和密碼之后,攻擊者就會(huì)利用這些信息侵入其它的系統(tǒng)。 什么是rootkit Rootkit出現(xiàn)于二十世紀(jì)90年代初,在1994年2月的一篇安全咨詢報(bào)告中首先使用了rootkit這個(gè)名詞。這篇安全咨詢就是CERT-CC的CA-1994-01,題目是Ongoing Network Monitoring Attacks,最新的修訂時(shí)間是1997年9月19日。從出現(xiàn)至今,rootkit的技術(shù)發(fā)展非常迅速,應(yīng)用越來(lái)越廣泛,檢測(cè)難度也越來(lái)越大。 rootkit介紹Rootkit是一種奇特的程序,它具有隱身功能:無(wú)論靜止時(shí)(作為文件存在),還是活動(dòng)時(shí),(作為進(jìn)程存在),都不會(huì)被察覺(jué)。換句話說(shuō),這種程序可能一直存在于我們的計(jì)算機(jī)中,但我們卻渾然不知,這一功能正是許多人夢(mèng)寐以求的——不論是計(jì)算機(jī)黑客,還是計(jì)算機(jī)取證人員。黑客可以在入侵后置入Rootkit,秘密地窺探敏感信息,或等待時(shí)機(jī),伺機(jī)而動(dòng);取證人員也可以利用Rootkit實(shí)時(shí)監(jiān)控嫌疑人員的不法行為,它不僅能搜集證據(jù),還有利于及時(shí)采取行動(dòng)。! 一、背景知識(shí) 我們通常所說(shuō)的智能機(jī)器,大至超級(jí)計(jì)算機(jī),中到個(gè)人PC,小至智能手機(jī),通常都有兩部分組成:硬件和軟件。并且,設(shè)備的智能是通過(guò)軟件來(lái)實(shí)現(xiàn)的。所有軟件中,有一種是必不可少的,那就是操作系統(tǒng)。操作系統(tǒng)可以簡(jiǎn)單理解為一組高度復(fù)用的核心程序,一方面,它要管理低層的硬件設(shè)備,另一方面,為上層其它程序提供一個(gè)良好的運(yùn)行環(huán)境。真是同人不同命,同為軟件,操作系統(tǒng)卻享有至高無(wú)上的特權(quán):它不僅管理硬件,而且其他所有軟件也都受制于它。 因?yàn)樵趹?yīng)用程序和硬件之間隔著操作系統(tǒng),所以應(yīng)用程序不能直接訪問(wèn)硬件,而是通過(guò)調(diào)用操作系統(tǒng)提供的接口來(lái)使用硬件。也就是說(shuō),對(duì)應(yīng)用程序而言,硬件是不可見(jiàn)的。當(dāng)然,凡事是沒(méi)有絕對(duì)的,應(yīng)用程序繞過(guò)操作系統(tǒng)來(lái)直接訪問(wèn)硬件也不是不可能的,但這樣做會(huì)付出高昂的代價(jià)。設(shè)想一個(gè)軟件開(kāi)發(fā)商在開(kāi)發(fā)一款功能豐富的軟件,功能本身就夠他頭痛得了,現(xiàn)在他還得操心某個(gè)數(shù)據(jù)在某個(gè)磁道的某個(gè)簇上,某個(gè)字符在某品牌顯示器上的顏色的二進(jìn)制代碼等等繁瑣的事情,不用說(shuō)財(cái)力和物力,單說(shuō)開(kāi)發(fā)周期就是無(wú)法容忍的。所以,現(xiàn)在的應(yīng)用程序都是使用操作系統(tǒng)提供的簡(jiǎn)單明了的服務(wù)來(lái)訪問(wèn)系統(tǒng)的,因?yàn)楫吘箾](méi)有誰(shuí)愿意自討苦吃。 二、內(nèi)核的主要功能 從上文中我們已經(jīng)了解,內(nèi)核在系統(tǒng)中處于核心樞紐的地位,下面我們具體介紹內(nèi)核中與Rootkit緊密相關(guān)的幾個(gè)主要功能,更重要的是這些功能對(duì)Rootkit的意義所在: 進(jìn)程管理。進(jìn)程可以簡(jiǎn)單理解為運(yùn)行中的程序,它需要占用內(nèi)存、CPU時(shí)間等系統(tǒng)資源,F(xiàn)在的操作系統(tǒng)大多支持多用戶多任務(wù),也就是說(shuō)系統(tǒng)要并行運(yùn)行多個(gè)程序。為此,內(nèi)核不僅要有專門代碼來(lái)負(fù)責(zé)為進(jìn)程或線程分配CPU時(shí)間,另一方面還要開(kāi)辟一段內(nèi)存區(qū)域存放用來(lái)記錄這些進(jìn)程詳細(xì)情況的數(shù)據(jù)結(jié)構(gòu)。內(nèi)核是怎么知道系統(tǒng)中有多少進(jìn)程、各進(jìn)程的狀態(tài)等信息的?就是通過(guò)這些數(shù)據(jù)結(jié)構(gòu),換句話說(shuō)它們就是內(nèi)核感知進(jìn)程存在的依據(jù)。因此,只要修改這些數(shù)據(jù)結(jié)構(gòu),就能達(dá)到隱藏進(jìn)程的目的。 文件訪問(wèn)。文件系統(tǒng)是操作系統(tǒng)提供的最為重要的功能之一。內(nèi)核中的驅(qū)動(dòng)程序把設(shè)備的柱面、扇區(qū)等原始結(jié)構(gòu)抽象成為更加易用的文件系統(tǒng),并提供一個(gè)一致的接口供上層程序調(diào)用。也就是說(shuō),這部分代碼完全控制著對(duì)硬盤的訪問(wèn),通過(guò)修改內(nèi)核的這部分代碼,攻擊者能夠隱藏文件和目錄。 安全控制。對(duì)大部分操作系統(tǒng)來(lái)說(shuō),因?yàn)橄到y(tǒng)中同時(shí)存在多個(gè)進(jìn)程,為了避免各進(jìn)程之間發(fā)生沖突,內(nèi)核必須對(duì)各進(jìn)程實(shí)施有效的隔離措施。比如,在MS-Windows系統(tǒng)中,每個(gè)進(jìn)程都被強(qiáng)制規(guī)定了具體的權(quán)限和單獨(dú)的內(nèi)存范圍。因此,對(duì)攻擊者而言,只要對(duì)內(nèi)核中負(fù)責(zé)安全事務(wù)的代碼稍事修改,整個(gè)安全機(jī)制就會(huì)全線崩潰。 內(nèi)存管理。現(xiàn)在的硬件平臺(tái)(比如英特爾的奔騰系列處理器)的內(nèi)存管理機(jī)制已經(jīng)復(fù)雜到可以將一個(gè)內(nèi)存地址轉(zhuǎn)換成多個(gè)物理地址的地步。舉例來(lái)說(shuō),進(jìn)程A按照地址 0x0030030讀取內(nèi)存,它得到值的是“飛機(jī)”;然而,進(jìn)程B也是按照同樣的地址0x0030030來(lái)讀取內(nèi)存,但它取得的值卻是“大炮”。像上面這樣,同一個(gè)地址指向截然不同的兩個(gè)物理內(nèi)存位置,并且每個(gè)位置存放不同的數(shù)據(jù)這種現(xiàn)象并不足以為怪——只不過(guò)是兩個(gè)進(jìn)程對(duì)虛擬地址到物理地址進(jìn)行了不同的映射而已。如果這一點(diǎn)利用好了,我們可以讓Rootkit躲避調(diào)試程序和取證軟件的追蹤。 上面介紹了內(nèi)核的主要功能,以及它們對(duì) Rootkit的重大意義。說(shuō)到這里,我們就要切入正題了,即:只要我們顛覆(即修改)了操作系統(tǒng)的核心服務(wù)(即內(nèi)核),那么整個(gè)系統(tǒng)包括各種應(yīng)用就完全處于我們的掌控之下了。要想顛覆內(nèi)核,前提條件是能把我們的代碼導(dǎo)入內(nèi)核。 其中針對(duì)SunOS和Linux兩種操作系統(tǒng)的rootkit最多(樹(shù)大招風(fēng):P)。所有的rootkit基本上都是由幾個(gè)獨(dú)立的程序組成的,一個(gè)典型rootkit包括: 1 以太網(wǎng)嗅探器程程序,用于獲得網(wǎng)絡(luò)上傳輸?shù)挠脩裘兔艽a等信息。 2 特洛伊木馬程序,例如:inetd或者login,為攻擊者提供后門。 3 隱藏攻擊者的目錄和進(jìn)程的程序,例如:ps、netstat、rshd和ls等。 4 可能還包括一些日志清理工具,例如:zap、zap2或者z2,攻擊者使用這些清理工具刪除wtmp、utmp和lastlog等日志文件中有關(guān)自己行蹤的條目。 一些復(fù)雜的rootkit還可以向攻擊者提供telnet、shell和finger等服務(wù)。 還包括一些用來(lái)清理/var/log和/var/adm目錄中其它文件的一些腳本。 攻擊者使用rootkit中的相關(guān)程序替代系統(tǒng)原來(lái)的ps、ls、netstat和df等程序,使系統(tǒng)管理員無(wú)法通過(guò)這些工具發(fā)現(xiàn)自己的蹤跡。接著使用日志清理工具清理系統(tǒng)日志,消除自己的蹤跡。然后,攻擊者會(huì)經(jīng)常地通過(guò)安裝的后門進(jìn)入系統(tǒng)查看嗅探器的日志,以發(fā)起其它的攻擊。如果攻擊者能夠正確地安裝rootkit并合理地清理了日志文件,系統(tǒng)管理員就會(huì)很難察覺(jué)系統(tǒng)已經(jīng)被侵入,直到某一天其它系統(tǒng)的管理員和他聯(lián)系或者嗅探器的日志把磁盤全部填滿,他才會(huì)察覺(jué)已經(jīng)大禍臨頭了。但是,大多數(shù)攻擊者在清理系統(tǒng)日志時(shí)不是非常小心或者干脆把系統(tǒng)日志全部刪除了事,警覺(jué)的系統(tǒng)管理員可以根據(jù)這些異常情況判斷出系統(tǒng)被侵入。不過(guò),在系統(tǒng)恢復(fù)和清理過(guò)程中,大多數(shù)常用的命令例如ps、df和ls已經(jīng)不可信了。許多rootkit中有一個(gè)叫做FIX的程序,在安裝rootkit之前,攻擊者可以首先使用這個(gè)程序做一個(gè)系統(tǒng)二進(jìn)制代碼的快照,然后再安裝替代程序。FIX能夠根據(jù)原來(lái)的程序偽造替代程序的三個(gè)時(shí)間戳(atime、ctime、mtime)、date、permission、所屬用戶和所屬用戶組。如果攻擊者能夠準(zhǔn)確地使用這些優(yōu)秀的應(yīng)用程序,并且在安裝rootkit時(shí)行為謹(jǐn)慎,就會(huì)讓系統(tǒng)管理員很難發(fā)現(xiàn)。 LINUX ROOTKIT IV 前面說(shuō)過(guò),大部分rootkit是針對(duì)Linux和SunOS的,下面我們介紹一個(gè)非常典型的針對(duì)Linux系統(tǒng)的rootkit--Linux Rootkit IV。Linux Rootkit IV是一個(gè)開(kāi)放源碼的rootkit,是Lord Somer編寫的,于1998年11月發(fā)布。不過(guò),它不是第一個(gè)Linux Rootkit,在它之前有l(wèi)rk、lnrk、lrk2和lrk3等Linux Rootkit。這些rootkit包括常用的rootkit組件,例如嗅探器、日志編輯/刪除工具、和后門程序的。 經(jīng)過(guò)這么多年的發(fā)展,Linux Rootkit IV功能變的越來(lái)越完善,具有的特征也越來(lái)越多。不過(guò),雖然它的代碼非常龐大,卻非常易于安裝和使用,只要執(zhí)行make install就可以成功安裝。如果你還要安裝一個(gè)shadow工具,只要執(zhí)行make shadow install就可以了。注意:Linux Rootkit IV只能用于Linux 2.x的內(nèi)核。下面我們簡(jiǎn)單地介紹一下Linux Rootkit IV包含的各種工具,詳細(xì)的介紹請(qǐng)參考其發(fā)布包的README文件。 隱藏入侵者行蹤的程序 為了隱藏入侵者的行蹤,Linux Rootkit IV的作者可謂煞費(fèi)心機(jī),編寫了許多系統(tǒng)命令的替代程序,使用這些程序代替原由的系統(tǒng)命令,來(lái)隱藏入侵者的行蹤。這些程序包括: ls、find、du 這些程序會(huì)阻止顯示入侵者的文件以及計(jì)算入侵者文件占用的空間。在編譯之前,入侵者可以通過(guò)ROOTKIT_FILES_FILE設(shè)置自己的文件所處的位置,默認(rèn)是/dev/ptyr。注意如果在編譯時(shí)使用了SHOWFLAG選項(xiàng),就可以使用ls -/命令列出所有的文件。這幾個(gè)程序還能夠自動(dòng)隱藏所有名字為:ptyr、hack.dir和W4r3z的文件。 ps、top、pidof 這幾個(gè)程序用來(lái)隱藏所有和入侵者相關(guān)的進(jìn)程。 netstat 隱藏出/入指定IP地址或者端口的網(wǎng)絡(luò)數(shù)據(jù)流量。 killall 不會(huì)殺死被入侵者隱藏的進(jìn)程。 ifconfig 如果入侵者啟動(dòng)了嗅探器,這個(gè)程序就阻止PROMISC標(biāo)記的顯示,使系統(tǒng)管理員難以發(fā)現(xiàn)網(wǎng)絡(luò)接口已經(jīng)處于混雜模式下。 crontab 隱藏有關(guān)攻擊者的crontab條目。 tcpd 阻止向日志中記錄某些連接 syslogd 過(guò)濾掉日志中的某些連接信息 木馬程序 為本地用戶提供后門,包括: chfn 提升本地普通用戶權(quán)限的程序。運(yùn)行chfn,在它提示輸入新的用戶名時(shí),如果用戶輸入rookit密碼,他的權(quán)限就被提升為root。默認(rèn)的rootkit密碼是satori。 chsh 也是一個(gè)提升本地用戶權(quán)限的程序。運(yùn)行chsh,在它提示輸入新的shell時(shí),如果用戶輸入rootkit密碼,他的權(quán)限就被提升為root。 passwd 和上面兩個(gè)程序的作用相同。在提示你輸入新密碼時(shí),如果輸入rookit密碼,權(quán)限就可以變成root。 login 允許使用任何帳戶通過(guò)rootkit密碼登錄。如果使用root帳戶登錄被拒絕,可以嘗試一下rewt。當(dāng)使用后門時(shí),這個(gè)程序還能夠禁止記錄命令的歷史記錄。 木馬網(wǎng)絡(luò)監(jiān)控程序 這些程序?yàn)檫h(yuǎn)程用戶提供后門,可以向遠(yuǎn)程用戶提供inetd、rsh、ssh等服務(wù),具體因版本而異。隨著版本的升級(jí),Linux Rootkit IV的功能也越來(lái)越強(qiáng)大,特征也越來(lái)越豐富。一般包括如下網(wǎng)絡(luò)服務(wù)程序: inetd 特洛伊inetd程序,為攻擊者提供遠(yuǎn)程訪問(wèn)服務(wù)。 rshd 為攻擊者提供遠(yuǎn)程shell服務(wù)。攻擊者使用rsh -l rootkitpassword host command命令就可以啟動(dòng)一個(gè)遠(yuǎn)程root shell。 sshd 為攻擊者提供ssh服務(wù)的后門程序。 工具程序 所有不屬于以上類型的程序都可以歸如這個(gè)類型,它們實(shí)現(xiàn)一些諸如:日志清理、報(bào)文嗅探以及遠(yuǎn)程shell的端口綁定等功能,包括: fix 文件屬性偽造程序 linsniffer 報(bào)文嗅探器程序。 sniffchk 一個(gè)簡(jiǎn)單的bash shell腳本,檢查系統(tǒng)中是否正有一個(gè)嗅探器在運(yùn)行。 wted wtmp/utmp日志編輯程序。你可以使用這個(gè)工具編輯所有wtmp或者utmp類型的文件。 z2 utmp/wtmp/lastlog日志清理工具?梢詣h除utmp/wtmp/lastlog日志文件中有關(guān)某個(gè)用戶名的所有條目。不過(guò),如果用于Linux系統(tǒng)需要手工修改其源代碼,設(shè)置日志文件的位置。 bindshell rootkit 在某個(gè)端口上綁定shell服務(wù),默認(rèn)端口是12497。為遠(yuǎn)程攻擊者提供shell服務(wù)。 如何發(fā)現(xiàn)rootkit 很顯然,只有使你的網(wǎng)絡(luò)非常安全讓攻擊者無(wú)隙可乘,才能是自己的網(wǎng)絡(luò)免受rootkit的影響。不過(guò),恐怕沒(méi)有人能夠提供這個(gè)保證,但是在日常的網(wǎng)絡(luò)管理維護(hù)中保持一些良好的習(xí)慣,能夠在一定程度上減小由rootkit造成的損失,并及時(shí)發(fā)現(xiàn)rootkit的存在。 首先,不要在網(wǎng)絡(luò)上使用明文傳輸密碼,或者使用一次性密碼。這樣,即使你的系統(tǒng)已經(jīng)被安裝了rootkit,攻擊者也無(wú)法通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng),獲得更多用戶名和密碼,從而避免入侵的蔓延。 使用Tripwire和aide等檢測(cè)工具能夠及時(shí)地幫助你發(fā)現(xiàn)攻擊者的入侵,它們能夠很好地提供系統(tǒng)完整性的檢查。這類工具不同于其它的入侵檢測(cè)工具,它們不是通過(guò)所謂的攻擊特征碼來(lái)檢測(cè)入侵行為,而是監(jiān)視和檢查系統(tǒng)發(fā)生的變化。Tripwire首先使用特定的特征碼函數(shù)為需要監(jiān)視的系統(tǒng)文件和目錄建立一個(gè)特征數(shù)據(jù)庫(kù),所謂特征碼函數(shù)就是使用任意的文件作為輸入,產(chǎn)生一個(gè)固定大小的數(shù)據(jù)(特征碼)的函數(shù)。入侵者如果對(duì)文件進(jìn)行了修改,即使文件大小不變,也會(huì)破壞文件的特征碼。利用這個(gè)數(shù)據(jù)庫(kù),Tripwire可以很容易地發(fā)現(xiàn)系統(tǒng)的變化。而且文件的特征碼幾乎是不可能偽造的,系統(tǒng)的任何變化都逃不過(guò)Tripwire的監(jiān)視(當(dāng)然,前提是你已經(jīng)針對(duì)自己的系統(tǒng)做了準(zhǔn)確的配置:P,關(guān)于Tripwire和aide的使用請(qǐng)參考本站的相關(guān)文章)。最后,需要能夠把這個(gè)特征碼數(shù)據(jù)庫(kù)放到安全的地方。 Rootkit 是一種特殊類型的 malware(惡意軟件)。Rootkit 之所以特殊是因?yàn)槟恢浪鼈冊(cè)谧鍪裁词虑。Rootkit 基本上是無(wú)法檢測(cè)到的,而且?guī)缀醪豢赡軇h除它們。雖然檢測(cè)工具在不斷增多,但是惡意軟件的開(kāi)發(fā)者也在不斷尋找新的途徑來(lái)掩蓋他們的蹤跡。 Rootkit 的目的在于隱藏自己以及其他軟件不被發(fā)現(xiàn)。它可以通過(guò)阻止用戶識(shí)別和刪除攻擊者的軟件來(lái)達(dá)到這個(gè)目的。Rootkit 幾乎可以隱藏任何軟件,包括文件服務(wù)器、鍵盤記錄器、Botnet 和 Remailer。許多 Rootkit 甚至可以隱藏大型的文件集合并允許攻擊者在您的計(jì)算機(jī)上保存許多文件,而您無(wú)法看到這些文件。 Rootkit 本身不會(huì)像病毒或蠕蟲(chóng)那樣影響計(jì)算機(jī)的運(yùn)行。攻擊者可以找出目標(biāo)系統(tǒng)上的現(xiàn)有漏洞。漏洞可能包括:開(kāi)放的網(wǎng)絡(luò)端口、未打補(bǔ)丁的系統(tǒng)或者具有脆弱的管理員密碼的系統(tǒng)。在獲得存在漏洞的系統(tǒng)的訪問(wèn)權(quán)限之后,攻擊者便可手動(dòng)安裝一個(gè) Rootkit。這種類型的偷偷摸摸的攻擊通常不會(huì)觸發(fā)自動(dòng)執(zhí)行的網(wǎng)絡(luò)安全控制功能,例如入侵檢測(cè)系統(tǒng)。 找出 Rootkit 十分困難。有一些軟件包可以檢測(cè) Rootkit。這些軟件包可劃分為以下兩類:基于簽名的檢查程序和基于行為的檢查程序。基于簽名(特征碼)的檢查程序,例如大多數(shù)病毒掃描程序,會(huì)檢查二進(jìn)制文件是否為已知的 Rootkit。基于行為的檢查程序試圖通過(guò)查找一些代表 Rootkit 主要行為的隱藏元素來(lái)找出 Rootkit。一個(gè)流行的基于行為的 Rootkit 檢查程序是 Rootkit Revealer. 在發(fā)現(xiàn)系統(tǒng)中存在 Rootkit 之后,能夠采取的補(bǔ)救措施也較為有限。由于 Rootkit 可以將自身隱藏起來(lái),所以您可能無(wú)法知道它們已經(jīng)在系統(tǒng)中存在了多長(zhǎng)的時(shí)間。而且您也不知道 Rootkit 已經(jīng)對(duì)哪些信息造成了損害。對(duì)于找出的 Rootkit,最好的應(yīng)對(duì)方法便是擦除并重新安裝系統(tǒng)。雖然這種手段很嚴(yán)厲,但是這是得到證明的唯一可以徹底刪除 Rootkit 的方法。 防止 Rootkit 進(jìn)入您的系統(tǒng)是能夠使用的最佳辦法。為了實(shí)現(xiàn)這個(gè)目的,可以使用與防范所有攻擊計(jì)算機(jī)的惡意軟件一樣的深入防衛(wèi)策略。深度防衛(wèi)的要素包括:病毒掃描程序、定期更新軟件、在主機(jī)和網(wǎng)絡(luò)上安裝防火墻,以及強(qiáng)密碼策略等。
在網(wǎng)絡(luò)安全中經(jīng)常會(huì)遇到rootkit,NSA安全和入侵檢測(cè)術(shù)語(yǔ)字典( NSA Glossary of Terms Used in Security and Intrusion Detection)對(duì)rootkit的定義如下:A hacker security tool that captures passwords and message traffic to and from a computer. A collection of tools that allows a hacker to provide a backdoor into a system, collect information on other systems on the network,mask the fact that the system is compromised, and much more. Rootkit is a classic example of Trojan Horse software. Rootkit is available for a wide range of operating systems. 好多人有一個(gè)誤解,他們認(rèn)為rootkit是用作獲得系統(tǒng)root訪問(wèn)權(quán)限的工具。實(shí)際上,rootkit是攻擊者用來(lái)隱藏自己的蹤跡和保留root訪問(wèn)權(quán)限的工具。通常,攻擊者通過(guò)遠(yuǎn)程攻擊獲得root訪問(wèn)權(quán)限,或者首先密碼猜測(cè)或者密碼強(qiáng)制破譯的方式獲得系統(tǒng)的訪問(wèn)權(quán)限。進(jìn)入系統(tǒng)后,如果他還沒(méi)有獲得root權(quán)限,再通過(guò)某些安全漏洞獲得系統(tǒng)的root權(quán)限。接著,攻擊者會(huì)在侵入的主機(jī)中安裝rootkit,然后他將經(jīng)常通過(guò)rootkit的后門檢查系統(tǒng)是否有其他的用戶登錄,如果只有自己,攻擊者就開(kāi)始著手清理日志中的有關(guān)信息。通過(guò)rootkit的嗅探器獲得其它系統(tǒng)的用戶和密碼之后,攻擊者就會(huì)利用這些信息侵入其它的系統(tǒng)。 什么是rootkit Rootkit出現(xiàn)于二十世紀(jì)90年代初,在1994年2月的一篇安全咨詢報(bào)告中首先使用了rootkit這個(gè)名詞。這篇安全咨詢就是CERT-CC的CA-1994-01,題目是Ongoing Network Monitoring Attacks,最新的修訂時(shí)間是1997年9月19日。從出現(xiàn)至今,rootkit的技術(shù)發(fā)展非常迅速,應(yīng)用越來(lái)越廣泛,檢測(cè)難度也越來(lái)越大。 rootkit介紹Rootkit是一種奇特的程序,它具有隱身功能:無(wú)論靜止時(shí)(作為文件存在),還是活動(dòng)時(shí),(作為進(jìn)程存在),都不會(huì)被察覺(jué)。換句話說(shuō),這種程序可能一直存在于我們的計(jì)算機(jī)中,但我們卻渾然不知,這一功能正是許多人夢(mèng)寐以求的——不論是計(jì)算機(jī)黑客,還是計(jì)算機(jī)取證人員。黑客可以在入侵后置入Rootkit,秘密地窺探敏感信息,或等待時(shí)機(jī),伺機(jī)而動(dòng);取證人員也可以利用Rootkit實(shí)時(shí)監(jiān)控嫌疑人員的不法行為,它不僅能搜集證據(jù),還有利于及時(shí)采取行動(dòng)。! 一、背景知識(shí) 我們通常所說(shuō)的智能機(jī)器,大至超級(jí)計(jì)算機(jī),中到個(gè)人PC,小至智能手機(jī),通常都有兩部分組成:硬件和軟件。并且,設(shè)備的智能是通過(guò)軟件來(lái)實(shí)現(xiàn)的。所有軟件中,有一種是必不可少的,那就是操作系統(tǒng)。操作系統(tǒng)可以簡(jiǎn)單理解為一組高度復(fù)用的核心程序,一方面,它要管理低層的硬件設(shè)備,另一方面,為上層其它程序提供一個(gè)良好的運(yùn)行環(huán)境。真是同人不同命,同為軟件,操作系統(tǒng)卻享有至高無(wú)上的特權(quán):它不僅管理硬件,而且其他所有軟件也都受制于它。 因?yàn)樵趹?yīng)用程序和硬件之間隔著操作系統(tǒng),所以應(yīng)用程序不能直接訪問(wèn)硬件,而是通過(guò)調(diào)用操作系統(tǒng)提供的接口來(lái)使用硬件。也就是說(shuō),對(duì)應(yīng)用程序而言,硬件是不可見(jiàn)的。當(dāng)然,凡事是沒(méi)有絕對(duì)的,應(yīng)用程序繞過(guò)操作系統(tǒng)來(lái)直接訪問(wèn)硬件也不是不可能的,但這樣做會(huì)付出高昂的代價(jià)。設(shè)想一個(gè)軟件開(kāi)發(fā)商在開(kāi)發(fā)一款功能豐富的軟件,功能本身就夠他頭痛得了,現(xiàn)在他還得操心某個(gè)數(shù)據(jù)在某個(gè)磁道的某個(gè)簇上,某個(gè)字符在某品牌顯示器上的顏色的二進(jìn)制代碼等等繁瑣的事情,不用說(shuō)財(cái)力和物力,單說(shuō)開(kāi)發(fā)周期就是無(wú)法容忍的。所以,現(xiàn)在的應(yīng)用程序都是使用操作系統(tǒng)提供的簡(jiǎn)單明了的服務(wù)來(lái)訪問(wèn)系統(tǒng)的,因?yàn)楫吘箾](méi)有誰(shuí)愿意自討苦吃。 二、內(nèi)核的主要功能 從上文中我們已經(jīng)了解,內(nèi)核在系統(tǒng)中處于核心樞紐的地位,下面我們具體介紹內(nèi)核中與Rootkit緊密相關(guān)的幾個(gè)主要功能,更重要的是這些功能對(duì)Rootkit的意義所在: 進(jìn)程管理。進(jìn)程可以簡(jiǎn)單理解為運(yùn)行中的程序,它需要占用內(nèi)存、CPU時(shí)間等系統(tǒng)資源,F(xiàn)在的操作系統(tǒng)大多支持多用戶多任務(wù),也就是說(shuō)系統(tǒng)要并行運(yùn)行多個(gè)程序。為此,內(nèi)核不僅要有專門代碼來(lái)負(fù)責(zé)為進(jìn)程或線程分配CPU時(shí)間,另一方面還要開(kāi)辟一段內(nèi)存區(qū)域存放用來(lái)記錄這些進(jìn)程詳細(xì)情況的數(shù)據(jù)結(jié)構(gòu)。內(nèi)核是怎么知道系統(tǒng)中有多少進(jìn)程、各進(jìn)程的狀態(tài)等信息的?就是通過(guò)這些數(shù)據(jù)結(jié)構(gòu),換句話說(shuō)它們就是內(nèi)核感知進(jìn)程存在的依據(jù)。因此,只要修改這些數(shù)據(jù)結(jié)構(gòu),就能達(dá)到隱藏進(jìn)程的目的。 文件訪問(wèn)。文件系統(tǒng)是操作系統(tǒng)提供的最為重要的功能之一。內(nèi)核中的驅(qū)動(dòng)程序把設(shè)備的柱面、扇區(qū)等原始結(jié)構(gòu)抽象成為更加易用的文件系統(tǒng),并提供一個(gè)一致的接口供上層程序調(diào)用。也就是說(shuō),這部分代碼完全控制著對(duì)硬盤的訪問(wèn),通過(guò)修改內(nèi)核的這部分代碼,攻擊者能夠隱藏文件和目錄。 安全控制。對(duì)大部分操作系統(tǒng)來(lái)說(shuō),因?yàn)橄到y(tǒng)中同時(shí)存在多個(gè)進(jìn)程,為了避免各進(jìn)程之間發(fā)生沖突,內(nèi)核必須對(duì)各進(jìn)程實(shí)施有效的隔離措施。比如,在MS-Windows系統(tǒng)中,每個(gè)進(jìn)程都被強(qiáng)制規(guī)定了具體的權(quán)限和單獨(dú)的內(nèi)存范圍。因此,對(duì)攻擊者而言,只要對(duì)內(nèi)核中負(fù)責(zé)安全事務(wù)的代碼稍事修改,整個(gè)安全機(jī)制就會(huì)全線崩潰。 內(nèi)存管理。現(xiàn)在的硬件平臺(tái)(比如英特爾的奔騰系列處理器)的內(nèi)存管理機(jī)制已經(jīng)復(fù)雜到可以將一個(gè)內(nèi)存地址轉(zhuǎn)換成多個(gè)物理地址的地步。舉例來(lái)說(shuō),進(jìn)程A按照地址 0x0030030讀取內(nèi)存,它得到值的是“飛機(jī)”;然而,進(jìn)程B也是按照同樣的地址0x0030030來(lái)讀取內(nèi)存,但它取得的值卻是“大炮”。像上面這樣,同一個(gè)地址指向截然不同的兩個(gè)物理內(nèi)存位置,并且每個(gè)位置存放不同的數(shù)據(jù)這種現(xiàn)象并不足以為怪——只不過(guò)是兩個(gè)進(jìn)程對(duì)虛擬地址到物理地址進(jìn)行了不同的映射而已。如果這一點(diǎn)利用好了,我們可以讓Rootkit躲避調(diào)試程序和取證軟件的追蹤。 上面介紹了內(nèi)核的主要功能,以及它們對(duì) Rootkit的重大意義。說(shuō)到這里,我們就要切入正題了,即:只要我們顛覆(即修改)了操作系統(tǒng)的核心服務(wù)(即內(nèi)核),那么整個(gè)系統(tǒng)包括各種應(yīng)用就完全處于我們的掌控之下了。要想顛覆內(nèi)核,前提條件是能把我們的代碼導(dǎo)入內(nèi)核。 其中針對(duì)SunOS和Linux兩種操作系統(tǒng)的rootkit最多(樹(shù)大招風(fēng):P)。所有的rootkit基本上都是由幾個(gè)獨(dú)立的程序組成的,一個(gè)典型rootkit包括: 1 以太網(wǎng)嗅探器程程序,用于獲得網(wǎng)絡(luò)上傳輸?shù)挠脩裘兔艽a等信息。 2 特洛伊木馬程序,例如:inetd或者login,為攻擊者提供后門。 3 隱藏攻擊者的目錄和進(jìn)程的程序,例如:ps、netstat、rshd和ls等。 4 可能還包括一些日志清理工具,例如:zap、zap2或者z2,攻擊者使用這些清理工具刪除wtmp、utmp和lastlog等日志文件中有關(guān)自己行蹤的條目。 一些復(fù)雜的rootkit還可以向攻擊者提供telnet、shell和finger等服務(wù)。 還包括一些用來(lái)清理/var/log和/var/adm目錄中其它文件的一些腳本。 攻擊者使用rootkit中的相關(guān)程序替代系統(tǒng)原來(lái)的ps、ls、netstat和df等程序,使系統(tǒng)管理員無(wú)法通過(guò)這些工具發(fā)現(xiàn)自己的蹤跡。接著使用日志清理工具清理系統(tǒng)日志,消除自己的蹤跡。然后,攻擊者會(huì)經(jīng)常地通過(guò)安裝的后門進(jìn)入系統(tǒng)查看嗅探器的日志,以發(fā)起其它的攻擊。如果攻擊者能夠正確地安裝rootkit并合理地清理了日志文件,系統(tǒng)管理員就會(huì)很難察覺(jué)系統(tǒng)已經(jīng)被侵入,直到某一天其它系統(tǒng)的管理員和他聯(lián)系或者嗅探器的日志把磁盤全部填滿,他才會(huì)察覺(jué)已經(jīng)大禍臨頭了。但是,大多數(shù)攻擊者在清理系統(tǒng)日志時(shí)不是非常小心或者干脆把系統(tǒng)日志全部刪除了事,警覺(jué)的系統(tǒng)管理員可以根據(jù)這些異常情況判斷出系統(tǒng)被侵入。不過(guò),在系統(tǒng)恢復(fù)和清理過(guò)程中,大多數(shù)常用的命令例如ps、df和ls已經(jīng)不可信了。許多rootkit中有一個(gè)叫做FIX的程序,在安裝rootkit之前,攻擊者可以首先使用這個(gè)程序做一個(gè)系統(tǒng)二進(jìn)制代碼的快照,然后再安裝替代程序。FIX能夠根據(jù)原來(lái)的程序偽造替代程序的三個(gè)時(shí)間戳(atime、ctime、mtime)、date、permission、所屬用戶和所屬用戶組。如果攻擊者能夠準(zhǔn)確地使用這些優(yōu)秀的應(yīng)用程序,并且在安裝rootkit時(shí)行為謹(jǐn)慎,就會(huì)讓系統(tǒng)管理員很難發(fā)現(xiàn)。 LINUX ROOTKIT IV 前面說(shuō)過(guò),大部分rootkit是針對(duì)Linux和SunOS的,下面我們介紹一個(gè)非常典型的針對(duì)Linux系統(tǒng)的rootkit--Linux Rootkit IV。Linux Rootkit IV是一個(gè)開(kāi)放源碼的rootkit,是Lord Somer編寫的,于1998年11月發(fā)布。不過(guò),它不是第一個(gè)Linux Rootkit,在它之前有l(wèi)rk、lnrk、lrk2和lrk3等Linux Rootkit。這些rootkit包括常用的rootkit組件,例如嗅探器、日志編輯/刪除工具、和后門程序的。 經(jīng)過(guò)這么多年的發(fā)展,Linux Rootkit IV功能變的越來(lái)越完善,具有的特征也越來(lái)越多。不過(guò),雖然它的代碼非常龐大,卻非常易于安裝和使用,只要執(zhí)行make install就可以成功安裝。如果你還要安裝一個(gè)shadow工具,只要執(zhí)行make shadow install就可以了。注意:Linux Rootkit IV只能用于Linux 2.x的內(nèi)核。下面我們簡(jiǎn)單地介紹一下Linux Rootkit IV包含的各種工具,詳細(xì)的介紹請(qǐng)參考其發(fā)布包的README文件。 隱藏入侵者行蹤的程序 為了隱藏入侵者的行蹤,Linux Rootkit IV的作者可謂煞費(fèi)心機(jī),編寫了許多系統(tǒng)命令的替代程序,使用這些程序代替原由的系統(tǒng)命令,來(lái)隱藏入侵者的行蹤。這些程序包括: ls、find、du 這些程序會(huì)阻止顯示入侵者的文件以及計(jì)算入侵者文件占用的空間。在編譯之前,入侵者可以通過(guò)ROOTKIT_FILES_FILE設(shè)置自己的文件所處的位置,默認(rèn)是/dev/ptyr。注意如果在編譯時(shí)使用了SHOWFLAG選項(xiàng),就可以使用ls -/命令列出所有的文件。這幾個(gè)程序還能夠自動(dòng)隱藏所有名字為:ptyr、hack.dir和W4r3z的文件。 ps、top、pidof 這幾個(gè)程序用來(lái)隱藏所有和入侵者相關(guān)的進(jìn)程。 netstat 隱藏出/入指定IP地址或者端口的網(wǎng)絡(luò)數(shù)據(jù)流量。 killall 不會(huì)殺死被入侵者隱藏的進(jìn)程。 ifconfig 如果入侵者啟動(dòng)了嗅探器,這個(gè)程序就阻止PROMISC標(biāo)記的顯示,使系統(tǒng)管理員難以發(fā)現(xiàn)網(wǎng)絡(luò)接口已經(jīng)處于混雜模式下。 crontab 隱藏有關(guān)攻擊者的crontab條目。 tcpd 阻止向日志中記錄某些連接 syslogd 過(guò)濾掉日志中的某些連接信息 木馬程序 為本地用戶提供后門,包括: chfn 提升本地普通用戶權(quán)限的程序。運(yùn)行chfn,在它提示輸入新的用戶名時(shí),如果用戶輸入rookit密碼,他的權(quán)限就被提升為root。默認(rèn)的rootkit密碼是satori。 chsh 也是一個(gè)提升本地用戶權(quán)限的程序。運(yùn)行chsh,在它提示輸入新的shell時(shí),如果用戶輸入rootkit密碼,他的權(quán)限就被提升為root。 passwd 和上面兩個(gè)程序的作用相同。在提示你輸入新密碼時(shí),如果輸入rookit密碼,權(quán)限就可以變成root。 login 允許使用任何帳戶通過(guò)rootkit密碼登錄。如果使用root帳戶登錄被拒絕,可以嘗試一下rewt。當(dāng)使用后門時(shí),這個(gè)程序還能夠禁止記錄命令的歷史記錄。 木馬網(wǎng)絡(luò)監(jiān)控程序 這些程序?yàn)檫h(yuǎn)程用戶提供后門,可以向遠(yuǎn)程用戶提供inetd、rsh、ssh等服務(wù),具體因版本而異。隨著版本的升級(jí),Linux Rootkit IV的功能也越來(lái)越強(qiáng)大,特征也越來(lái)越豐富。一般包括如下網(wǎng)絡(luò)服務(wù)程序: inetd 特洛伊inetd程序,為攻擊者提供遠(yuǎn)程訪問(wèn)服務(wù)。 rshd 為攻擊者提供遠(yuǎn)程shell服務(wù)。攻擊者使用rsh -l rootkitpassword host command命令就可以啟動(dòng)一個(gè)遠(yuǎn)程root shell。 sshd 為攻擊者提供ssh服務(wù)的后門程序。 工具程序 所有不屬于以上類型的程序都可以歸如這個(gè)類型,它們實(shí)現(xiàn)一些諸如:日志清理、報(bào)文嗅探以及遠(yuǎn)程shell的端口綁定等功能,包括: fix 文件屬性偽造程序 linsniffer 報(bào)文嗅探器程序。 sniffchk 一個(gè)簡(jiǎn)單的bash shell腳本,檢查系統(tǒng)中是否正有一個(gè)嗅探器在運(yùn)行。 wted wtmp/utmp日志編輯程序。你可以使用這個(gè)工具編輯所有wtmp或者utmp類型的文件。 z2 utmp/wtmp/lastlog日志清理工具?梢詣h除utmp/wtmp/lastlog日志文件中有關(guān)某個(gè)用戶名的所有條目。不過(guò),如果用于Linux系統(tǒng)需要手工修改其源代碼,設(shè)置日志文件的位置。 bindshell rootkit 在某個(gè)端口上綁定shell服務(wù),默認(rèn)端口是12497。為遠(yuǎn)程攻擊者提供shell服務(wù)。 如何發(fā)現(xiàn)rootkit 很顯然,只有使你的網(wǎng)絡(luò)非常安全讓攻擊者無(wú)隙可乘,才能是自己的網(wǎng)絡(luò)免受rootkit的影響。不過(guò),恐怕沒(méi)有人能夠提供這個(gè)保證,但是在日常的網(wǎng)絡(luò)管理維護(hù)中保持一些良好的習(xí)慣,能夠在一定程度上減小由rootkit造成的損失,并及時(shí)發(fā)現(xiàn)rootkit的存在。 首先,不要在網(wǎng)絡(luò)上使用明文傳輸密碼,或者使用一次性密碼。這樣,即使你的系統(tǒng)已經(jīng)被安裝了rootkit,攻擊者也無(wú)法通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng),獲得更多用戶名和密碼,從而避免入侵的蔓延。 使用Tripwire和aide等檢測(cè)工具能夠及時(shí)地幫助你發(fā)現(xiàn)攻擊者的入侵,它們能夠很好地提供系統(tǒng)完整性的檢查。這類工具不同于其它的入侵檢測(cè)工具,它們不是通過(guò)所謂的攻擊特征碼來(lái)檢測(cè)入侵行為,而是監(jiān)視和檢查系統(tǒng)發(fā)生的變化。Tripwire首先使用特定的特征碼函數(shù)為需要監(jiān)視的系統(tǒng)文件和目錄建立一個(gè)特征數(shù)據(jù)庫(kù),所謂特征碼函數(shù)就是使用任意的文件作為輸入,產(chǎn)生一個(gè)固定大小的數(shù)據(jù)(特征碼)的函數(shù)。入侵者如果對(duì)文件進(jìn)行了修改,即使文件大小不變,也會(huì)破壞文件的特征碼。利用這個(gè)數(shù)據(jù)庫(kù),Tripwire可以很容易地發(fā)現(xiàn)系統(tǒng)的變化。而且文件的特征碼幾乎是不可能偽造的,系統(tǒng)的任何變化都逃不過(guò)Tripwire的監(jiān)視(當(dāng)然,前提是你已經(jīng)針對(duì)自己的系統(tǒng)做了準(zhǔn)確的配置:P,關(guān)于Tripwire和aide的使用請(qǐng)參考本站的相關(guān)文章)。最后,需要能夠把這個(gè)特征碼數(shù)據(jù)庫(kù)放到安全的地方。 Rootkit 是一種特殊類型的 malware(惡意軟件)。Rootkit 之所以特殊是因?yàn)槟恢浪鼈冊(cè)谧鍪裁词虑。Rootkit 基本上是無(wú)法檢測(cè)到的,而且?guī)缀醪豢赡軇h除它們。雖然檢測(cè)工具在不斷增多,但是惡意軟件的開(kāi)發(fā)者也在不斷尋找新的途徑來(lái)掩蓋他們的蹤跡。 Rootkit 的目的在于隱藏自己以及其他軟件不被發(fā)現(xiàn)。它可以通過(guò)阻止用戶識(shí)別和刪除攻擊者的軟件來(lái)達(dá)到這個(gè)目的。Rootkit 幾乎可以隱藏任何軟件,包括文件服務(wù)器、鍵盤記錄器、Botnet 和 Remailer。許多 Rootkit 甚至可以隱藏大型的文件集合并允許攻擊者在您的計(jì)算機(jī)上保存許多文件,而您無(wú)法看到這些文件。 Rootkit 本身不會(huì)像病毒或蠕蟲(chóng)那樣影響計(jì)算機(jī)的運(yùn)行。攻擊者可以找出目標(biāo)系統(tǒng)上的現(xiàn)有漏洞。漏洞可能包括:開(kāi)放的網(wǎng)絡(luò)端口、未打補(bǔ)丁的系統(tǒng)或者具有脆弱的管理員密碼的系統(tǒng)。在獲得存在漏洞的系統(tǒng)的訪問(wèn)權(quán)限之后,攻擊者便可手動(dòng)安裝一個(gè) Rootkit。這種類型的偷偷摸摸的攻擊通常不會(huì)觸發(fā)自動(dòng)執(zhí)行的網(wǎng)絡(luò)安全控制功能,例如入侵檢測(cè)系統(tǒng)。 找出 Rootkit 十分困難。有一些軟件包可以檢測(cè) Rootkit。這些軟件包可劃分為以下兩類:基于簽名的檢查程序和基于行為的檢查程序。基于簽名(特征碼)的檢查程序,例如大多數(shù)病毒掃描程序,會(huì)檢查二進(jìn)制文件是否為已知的 Rootkit。基于行為的檢查程序試圖通過(guò)查找一些代表 Rootkit 主要行為的隱藏元素來(lái)找出 Rootkit。一個(gè)流行的基于行為的 Rootkit 檢查程序是 Rootkit Revealer. 在發(fā)現(xiàn)系統(tǒng)中存在 Rootkit 之后,能夠采取的補(bǔ)救措施也較為有限。由于 Rootkit 可以將自身隱藏起來(lái),所以您可能無(wú)法知道它們已經(jīng)在系統(tǒng)中存在了多長(zhǎng)的時(shí)間。而且您也不知道 Rootkit 已經(jīng)對(duì)哪些信息造成了損害。對(duì)于找出的 Rootkit,最好的應(yīng)對(duì)方法便是擦除并重新安裝系統(tǒng)。雖然這種手段很嚴(yán)厲,但是這是得到證明的唯一可以徹底刪除 Rootkit 的方法。 防止 Rootkit 進(jìn)入您的系統(tǒng)是能夠使用的最佳辦法。為了實(shí)現(xiàn)這個(gè)目的,可以使用與防范所有攻擊計(jì)算機(jī)的惡意軟件一樣的深入防衛(wèi)策略。深度防衛(wèi)的要素包括:病毒掃描程序、定期更新軟件、在主機(jī)和網(wǎng)絡(luò)上安裝防火墻,以及強(qiáng)密碼策略等。
抱歉,此頁(yè)面的內(nèi)容受版權(quán)保護(hù),復(fù)制需扣除次數(shù),次數(shù)不足時(shí)需付費(fèi)購(gòu)買。
如需下載請(qǐng)點(diǎn)擊:點(diǎn)擊此處下載
掃碼付費(fèi)即可復(fù)制
PSTN | 永久虛電路 | 固定碼率 | CFL | 公共數(shù)據(jù)網(wǎng) | tdev | 光功率損耗 | EOA | quantum | ip電話 | FWHM | RSSI |
移動(dòng)通信網(wǎng) | 通信人才網(wǎng) | 更新日志 | 團(tuán)隊(duì)博客 | 免責(zé)聲明 | 關(guān)于詞典 | 幫助