Rootkits最初是一套针对unix操作系统的工具集合，黑客利用这些工具隐藏其入侵活动的痕迹。这些工具可以在操作系统中隐藏恶意程序，包括进程、文件夹和注册码。随着技术的发展，Rootkits也在Windows操作系统上广泛出现，成为一种强大的防护手段，使得其他软件难以发现、修改或删除受保护的文件。

历史背景

Rootkits起源于UNIX操作系统，随着时间推移，这类工具和技术逐渐扩展至Windows平台。Rootkits的作用类似于一层铠甲，保护自身和其他指定文件免受外部干扰。即使面对最顽固的流氓软件和病毒，如果没有解除Rootkits的保护，常规的杀毒软件也无法彻底清除它们。

定义

Rootkits是Linux/Unix环境下的一种工具，允许攻击者在获取root权限后隐藏其活动轨迹并保持对系统的访问权限。攻击者可以通过Rootkits检查系统是否存在其他用户的登录记录，并清除相关日志信息。此外，Rootkits还能通过嗅探器获取其他系统的用户名和密码。

类型与处理方法

分类

Rootkits可分为应用级别、内核级别和硬件级别三种类型。早期的Rootkits主要以应用级别为主，通过替换系统工具或修改配置文件等方式实现隐藏后门。硬件级别的Rootkits则涉及BIOS层面的操作，能够在系统启动前获得控制权。目前最常见的Rootkits属于内核级别，通过直接修改内核来添加隐藏代码。

第一种技术

第一种Rootkits技术通常是通过释放DLL文件并将它们注入到其他软件及系统进程中运行，通过HOOK方式拦截消息，防止Windows及其他应用程序访问受保护的文件。

第二种技术

第二种技术更为复杂，通过在Windows启动时加载Rootkits驱动程序，获取对Windows的控制权。当程序尝试访问受保护的文件时，Rootkits会返回虚假结果，从而达到隐藏或锁定文件的目的。

清除难度

进程注入式的Rootkits相对容易处理，可通过杀毒软件的开机扫描功能清除。但对于驱动级别的Rootkits，由于其加载优先级高，目前尚无有效的方法。多数杀毒软件在处理此类Rootkits时会出现漏查漏杀的情况。

新兴威胁

Rootkits被视为一种新型威胁，因为它们可以使系统发生改变，隐藏可能存在的恶意软件。例如，Rustock和mailbot等恶意代码采用了rootkit技术，使其能够逃避安全软件的检测。尽管这些新技术带来了挑战，但安全厂商仍在不断研发新的检测和清除工具。

应用实例

简单的应用级别Rootkits可以通过替换已提升权限的命令来实现其功能，并提供清理工具以删除日志文件中的相关信息。更复杂的Rootkits甚至可以提供远程终端、外壳和手指等服务。

参考资料