31 views

Rootkit技术 1 – 概述

image

今天和同事讨论的到恶意软件中的一些名词,其实这个领域有繁多的术语,例如:

adware、malware、rootkit、spyware、Torjan、virus、worm等。在rootkit开始前首先要清楚这些感念之间的不同。下面是这些术语的侧重点:

 

image

现实中,这些概念并非孤立的,都是混合使用,例如rootkit可以通过木马传播等。rootkit可以安装Spyware等。

 

按照运行环境,rootkit可以分为下列层次:

1.User Mode

2.Kernel Mode

3.Hypervisor Level

4.Fireware和Hardware(电路级别也可嵌入rootkit)

 

rootkit的特点如下:

1.从应用阶段讲,它是运在机器root权限被攻占后。如何攻占一台机器,例如通过shellcode还是盗取密码,这个和rootkit无关,属不同阶段的技术。

2.rootkit的作用是维护黑客在被攻占设备上的root权限。我觉得可以理解为root权限下的后门的维护。至于后门如何使用和rootkit也无关。后门可被黑客非法利用,也可被用于安全监控。

3.rootkit的与众不同的需求就隐藏自身,一旦被发现就可能被移除,使命就到头了(越靠近底层移除难度越大,例如电路和固件级别rootkit可能需要更换硬件)。

 

这里仅关注它自身的最重要的特点,隐藏和对抗检测。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

您可以使用这些HTML标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">