什么是rootkit呢,似乎是个很神秘的东西,是为数不多的没有中文名称的恶意程序。
 
rootkit是系统安全的大敌,但rootkit的可怕之处不在于它的破坏作用,rootkit通常会修改操作系统,但一般不会破坏用户的系统和数据。rootkit的主要作用是:
 
1,隐藏***者在系统中留下的痕迹。
2,隐藏***者在系统中植入的其它程序。
3,帮助***者提升系统访问权限,以管理员身份执行系统任务(这也是rootkit一词的由来,因为rootkit最早出现于UNIX系统,***者通过rootkit获取root权限,现在rootkit也常见于Windows系统之中)。
4,在系统中留下后门,方便***者的后续访问。
 
从上面的一些特点可以看出,rootkit很像比较高级的***程序。
 
rootkit最让人头痛的地方在于它隐藏得比较好,不容易被安全软件检测和清除。rootkit可能会修改系统内核,拦截系统和应用对某些文件的访问,从而达到隐藏自己和其它恶意程序的目的,如果通过常规的系统调用去检测rootkit,不容易发现它,也无法彻底清除它。比较好的做法是采用非常规手段去读取rootkit的数据,像Symantec的防病毒软件中就集成了自己的卷管理模块,可以绕过操作系统去直接读取磁盘上的数据,从而可以更好地检测和清除rootkit一类的安全威胁。