一、什么是Rootkits?
Rootkits最早是一組用于UNIX操作系統(tǒng)的工具集,黑客使用它們隱藏入侵活動的痕跡。
目前,在Windows操作系統(tǒng)上也已經(jīng)出現(xiàn)了大量的Rootkits工具及使用Rootkits技術(shù)編寫的軟件。這些Rootkits像就像一層鎧甲,將自身及指定的文件保護(hù)起來,使其它軟件無法發(fā)現(xiàn)、修改或刪除這些文件。
打個比喻,帶有Rootkits的流氓軟件和病毒就像練就了“金鐘罩”、“鐵布杉”,不除這種保護(hù)傘,各種殺毒軟件都無法對其進(jìn)行徹底清除。
二、Rootkits的類型及常見處理方式
Rootkits主要分為兩大類:一種是進(jìn)程注入式Rootkits,另一種是驅(qū)動級Rootkits。
第一種Rootkits技術(shù)通常通過釋放動態(tài)鏈接庫(DLL)文件,并將它們注入到其它軟件及系統(tǒng)進(jìn)程中運行,通過HOOK方式對消息進(jìn)行攔截,阻止Windows及應(yīng)用程序?qū)Ρ槐Wo(hù)的文件進(jìn)行訪問。
第二種Rootkits技術(shù)較為復(fù)雜,其通過在Windows啟動時加載Rootkits驅(qū)動程序,獲取對Windows的控制權(quán)。當(dāng)程序(Windows及殺毒軟件等)通過系統(tǒng)API及NTAPI訪問文件系統(tǒng)時進(jìn)行監(jiān)視,一但發(fā)現(xiàn)程序訪問被Rootkits保護(hù)的文件時返回一個虛假的結(jié)果,從而達(dá)到隱藏或鎖定文件的目的。
進(jìn)程注入式Rootkits較好處理,通過使用殺毒軟件的開機掃描(又名Startup Scan、 BootScan)功能都可以輕松清除。然而,對于第二種通過驅(qū)動級的Rootkits,由于其加載的優(yōu)先級別較高,現(xiàn)階段還沒有一個較好的解決辦法。大多數(shù)殺毒軟件在處理使用此類Rootkits技術(shù)的病毒時均出現(xiàn)漏查漏殺,清除失敗的現(xiàn)象。
目前世界上僅有少數(shù)幾家反病毒廠商,能夠處理少量的驅(qū)動級Rootkits,而且當(dāng)一個新的Rootkits病毒出現(xiàn)時,往往需要花費很長時間才能夠處理。
三、瑞星“碎甲(Anti-Rootkits)”技術(shù)簡介
瑞星公司經(jīng)過對數(shù)百個驅(qū)動級Rootkits工具、使用該技術(shù)的病毒,流氓軟件以及Windows驅(qū)動加載方式分析,并進(jìn)行大量試驗后,最終找到了一種高效的通用解決方法,并將其命名為“碎甲(Anti-Rootkits)”技術(shù)。
瑞星“碎甲”技術(shù)通過對Windows驅(qū)動程序加載點進(jìn)行攔截,當(dāng)發(fā)現(xiàn)Rootkits時自動使其保護(hù)功能失效,就象穿甲彈擊碎盔甲一樣。目前,此技術(shù)可以有效對付600余種Rootkits,并且當(dāng)有新的Rootkits出現(xiàn)時能夠迅速地進(jìn)行處理。
瑞星“碎甲”技術(shù)通過對Windows驅(qū)動程序加載點進(jìn)行攔截,當(dāng)發(fā)現(xiàn)Rootkits時自動使其保護(hù)功能失效,就象穿甲彈擊碎盔甲一樣。目前,此技術(shù)可以有效對付600余種Rootkits,并且當(dāng)有新的Rootkits出現(xiàn)時能夠迅速地進(jìn)行處理。
瑞星“碎甲(Anti-Rootkits)”技術(shù)現(xiàn)已全面應(yīng)用于瑞星卡卡安全上網(wǎng)助手3.0當(dāng)中。用戶安裝瑞星卡卡3.0后,病毒、流氓軟件等身上的鎧甲將被擊碎,赤裸裸地曝露在殺毒軟件面前。通過使用瑞星卡卡3.0,其他的不具備清除Rootkits能力的殺毒軟件,均能夠輕松刪除帶有Rootkits保護(hù)的病毒。
RootKits和病毒處理的功能表
產(chǎn)品名稱
功能 |
瑞星卡卡上網(wǎng)安全助手3.0 |
殺毒軟件 |
Anti-RootKits |
有 |
無 |
清除病毒 |
可清除部分流行病毒及未知病毒 |
有 |
清除帶有Rootkits的病毒 |
未安裝 |
無法清除 |
已安裝 |
可以清除 |