什么是 Rootkit？

Rootkit定义

常见的rootkit定义是一种恶意软件程序，它使网络犯罪分子能够在不被检测到的情况下访问和渗透计算机中的数据。

它涵盖了旨在感染计算机，为攻击者提供远程控制并长时间保持隐藏的软件工具箱。因此，Rootkit是最难发现和删除的恶意软件之一，并且经常用于窃听用户和对计算机发起攻击。

Rootkit恶意软件可以包含多个恶意工具，其中通常包括用于启动分布式拒绝服务（DDoS）攻击的机器人;可以禁用安全软件，窃取银行和信用卡详细信息以及窃取密码的软件;和击键记录器。Rootkit 通常为攻击者提供进入计算机的后门，使他们能够访问受感染的计算机，并使他们能够在选择时更改或删除软件和组件。

Rootkit 的类型

Rootkit 可以通过多种方法进行安装，但它们通常针对计算机上的操作系统（OS）或应用程序中的漏洞。攻击者将针对已知漏洞，并使用漏洞利用代码攻击计算机，然后安装 rootkit 和其他允许他们远程访问的组件。

另一种常见的rootkit安装方法是通过受感染的通用串行总线（USB）驱动器，攻击者将其留在公共场所，希望不知情的受害者会拿起它们并将其插入计算机。然后，隐藏在USB驱动器上的恶意软件将作为看似合法的应用程序或文件的一部分进行安装。

但是，Rootkit 不仅用于恶意目的。它们还被组织和执法部门用于监控员工，使他们能够调查机器并应对可能的网络威胁。

有几种rootkit病毒类型为攻击者提供了进入计算机的不同途径，并使他们能够从用户那里窃取数据。

固件根基

固件 rootkit，也称为硬件 Rootkit，通常旨在感染计算机的硬盘驱动器和基本输入/输出系统（BIOS），即安装在主板中小型内存芯片上的软件。某些固件 Rootkit 可用于感染用户的路由器，以及拦截写入硬盘上的数据。

引导加载程序 Rootkits

引导加载程序是任何计算机的重要元素，也是计算机启动的核心。特殊的操作系统软件在计算机启动后加载到计算机的内存中，通常由光盘（CD）或数字多功能光盘（DVD），硬盘驱动器或USB记忆棒启动，这告诉BIOS引导加载程序的位置。引导加载程序工具包通过将计算机的引导加载程序替换为被黑客入侵的版本来攻击此系统。

引导加载程序 rootkit 会感染主引导记录或卷引导记录，这意味着它不会显示在用户的标准文件系统中。这使得反 Rootkit 和防病毒软件极难检测到 rootkit。它还可能修改引导记录，删除时可能会损坏计算机。

内存根基

内存 Rootkit 隐藏在计算机的随机存取内存（RAM）中，该内存是使数据能够接收并存储在计算机上的硬件。这些 Rootkit 的使用寿命很短，但它们可以在机器后台执行极其有害的活动。

内存 Rootkit 位于计算机的 RAM 中，通常在系统重新启动时消失，但它们有时可能需要额外的工作才能删除。它们通过恶意进程消耗资源来降低计算机 RAM 的性能。

应用程序 Rootkit

应用程序 Rootkit 将计算机上的文件替换为恶意 Rootkit 文件，这会更改标准应用程序（如记事本、画图或 Word）的性能。每次用户运行这些应用程序时，它们都会让黑客访问他们的计算机。受感染的程序照常运行，这可能使检测是否存在 rootkit 变得困难，但应使用良好的反 Rootkit 或防病毒程序来发现它们。

内核模式根基包

内核模式 Rootkit 是针对计算机操作系统的高级复杂恶意软件。它们使攻击者能够轻松访问计算机，使他们能够窃取数据并通过添加，删除或替换其代码来修改操作系统的工作方式。

创建内核模式 Rootkit 需要大量的技术知识，这意味着如果它有 bug 或故障，那么它可能会对受感染计算机的性能产生巨大影响。但是，满载错误的内核 rootkit 更容易检测，因为它会为反 rootkit 或防病毒软件留下痕迹。

这些 Rootkit 类型已被用于创建毁灭性攻击，包括：

NTRootkit：创建的第一批恶意rootkit之一，它针对Windows操作系统。
Machiavelli：第一个针对Mac OS的rootkit。2009年的马基雅维利rootkit攻击在Mac机器中创建了隐藏的内核线程和隐藏的系统。
Zeus：2007年发起的特洛伊木马攻击，使用浏览器内人（MITB）攻击方法以及表单抓取和击键记录来攻击银行信息。
Stuxnet：2010年首次发现，这是第一个已知的rootkit，专门针对工业控制系统并导致它们运行的设备出现故障。
Flame：2012 年发现，可攻击 Windows 计算机，可以记录音频、键盘活动、网络流量和屏幕截图。
Necurs：

最大的活跃僵尸网络之一背后的rootkit，负责传播巨大的勒索软件攻击，如Locky垃圾邮件和Dridex金融恶意软件。Necurs保护其他恶意软件链，将机器奴役到僵尸网络并确保无法删除感染。
ZeroAccess：创建ZeroAccess僵尸网络的rootkit恶意软件，该僵尸网络在挖掘比特币和向用户发送广告时会消耗资源。僵尸网络包含多达200万台机器，其中大部分被各种安全公司和机构关闭。但是，ZeroAccess 的变体仍然可用且处于活动状态。

检测 Rootkit - 什么是 Rootkit 扫描？

Rootkit 扫描是用户和组织检测 Rootkit 感染的最有效方法。机器的操作系统通常很难检测到Rootkit，因为它们被设计为在用户系统中伪装自己。因此，通常需要可以执行 Rootkit 扫描的防病毒解决方案来发现恶意软件。

Rootkit 扫描搜索已知的攻击特征。他们发现恶意软件的一种方法是通过内存转储分析，该分析发现rootkit在计算机内存中执行的指令。Rootkit扫描使用的另一种方法是行为分析，它搜索类似rootkit的行为，而不是rootkit本身。此方法能够在用户意识到自己受到攻击之前提醒用户存在 rootkit。

Rootkit 保护和删除

Rootkit是最难从受感染的计算机中删除的恶意软件程序之一。因此，没有保证的方法来恢复由 Rootkit 渗透的计算机，但用户可以和组织采取一些步骤来保护其计算机并删除恶意软件。

检测到 Rootkit 后，应遵循以下过程将其删除：

备份重要数据：Rootkit在删除后的反应是不可预测的，并且它可能具有内置的防御措施，可能会影响或损坏机器的性能。备份需要从计算机中保留的任何重要数据和文件。
以安全模式启动：许多 Rootkit 会尝试阻止用户安装安全解决方案或删除恶意软件。在这种情况下，请在安全模式下通过联网重新启动计算机，以通过在 Windows 启动屏幕中按 F8 来限制 Rootkit 的访问。
使用多个 Rootkit 扫描工具：广泛的 Rootkit 系列意味着并非所有 Rootkit 扫描都能够发现它们。因此，使用提供不同功能的扫描仪组合非常重要。
冻结剩余的恶意软件：仅删除rootkit可能并不总是保证计算机是干净的。它可能已被其他保持活动状态或旨在逃避rootkit扫描的恶意软件感染。其他安全解决方案可以冻结系统上保留的任何恶意软件，从而使恶意软件删除程序能够清除任何恶意软件。
高级 Rootkit 删除：

某些 Rootkit 类型特别难以删除。例如，标准 Rootkit 扫描不太可能删除固件或硬件 Rootkit，用户可能需要从计算机备份和擦除其数据并重新安装操作系统。但是，对于针对 BIOS 的 Rootkit，即使擦除和重新安装也不足以删除恶意软件。这可能需要擦除和更换 BIOS 驱动器，同时硬重置计算机。

预防根基感染

Rootkit可能非常难以删除，但可以像其他形式的恶意软件一样防止它们感染计算机。避免 Rootkit 感染的基本步骤包括：

网络钓鱼意识：网络钓鱼攻击是用恶意软件感染计算机的最常用方法之一。攻击者向电子邮件地址列表发送垃圾邮件，其中包含看似合法但包含恶意附件或链接的邮件，他们可以使用这些附件或链接渗透到用户的计算机中。因此，对于最终用户来说，了解常见的网络钓鱼攻击策略，始终检查发件人的电子邮件地址以及切勿直接跟踪电子邮件中的链接至关重要。
软件更新：发布者将不再支持过时或已达到其生命周期末尾的软件。这使得程序或系统更容易受到攻击，这些攻击会用rootkit等恶意软件感染它们。始终更新软件并确保将其设置为自动更新是针对rootkit的最佳防御措施之一。
使用防病毒解决方案：防病毒软件本身并不能抵御网络攻击。但是，防病毒系统作为总体安全解决方案的一部分是打击恶意软件不可或缺的一部分，可帮助用户发现rootkit的存在。
扫描和过滤网络流量：除了防病毒系统之外，还可以使用流量过滤软件随时监视和扫描进出网络的流量。该软件扫描入站和出站流量，以在恶意软件渗透计算机之前对其进行检测。