rookit到底是什麽意思?
好多人有壹個誤解,他們認為rootkit是用作獲得系統root訪問權限的工具。實際上,rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權限的工具。通常,攻擊者通過遠程攻擊獲得root訪問權限,或者首先密碼猜測或者密碼強制破譯的方式獲得系統的訪問權限。進入系統後,如果他還沒有獲得root權限,再通過某些安全漏洞獲得系統的root權限。接著,攻擊者會在侵入的主機中安裝rootkit,然後他將經常通過rootkit的後門檢查系統是否有其他的用戶登錄,如果只有自己,攻擊者就開始著手清理日誌中的有關信息。通過rootkit的嗅探器獲得其它系統的用戶和密碼之後,攻擊者就會利用這些信息侵入其它的系統。
什麽是rootkit
Rootkit出現於二十世紀90年代初,在1994年2月的壹篇安全咨詢報告中首先使用了rootkit這個名詞。這篇安全咨詢就是CERT-CC的CA-1994-01,題目是Ongoing Network Monitoring Attacks,最新的修訂時間是1997年9月19日。從出現至今,rootkit的技術發展非常迅速,應用越來越廣泛,檢測難度也越來越大。
rootkit介紹Rootkit是壹種奇特的程序,它具有隱身功能:無論靜止時(作為文件存在),還是活動時,(作為進程存在),都不會被察覺。換句話說,這種程序可能壹直存在於我們的計算機中,但我們卻渾然不知,這壹功能正是許多人夢寐以求的——不論是計算機黑客,還是計算機取證人員。黑客可以在入侵後置入Rootkit,秘密地窺探敏感信息,或等待時機,伺機而動;取證人員也可以利用Rootkit實時監控嫌疑人員的不法行為,它不僅能搜集證據,還有利於及時采取行動。!
壹、背景知識
我們通常所說的智能機器,大至超級計算機,中到個人PC,小至智能手機,通常都有兩部分組成:硬件和軟件。並且,設備的智能是通過軟件來實現的。所有軟件中,有壹種是必不可少的,那就是操作系統。操作系統可以簡單理解為壹組高度復用的核心程序,壹方面,它要管理低層的硬件設備,另壹方面,為上層其它程序提供壹個良好的運行環境。真是同人不同命,同為軟件,操作系統卻享有至高無上的特權:它不僅管理硬件,而且其他所有軟件也都受制於它。
因為在應用程序和硬件之間隔著操作系統,所以應用程序不能直接訪問硬件,而是通過調用操作系統提供的接口來使用硬件。也就是說,對應用程序而言,硬件是不可見的。當然,凡事是沒有絕對的,應用程序繞過操作系統來直接訪問硬件也不是不可能的,但這樣做會付出高昂的代價。設想壹個軟件開發商在開發壹款功能豐富的軟件,功能本身就夠他頭痛得了,現在他還得操心某個數據在某個磁道的某個簇上,某個字符在某品牌顯示器上的顏色的二進制代碼等等繁瑣的事情,不用說財力和物力,單說開發周期就是無法容忍的。所以,現在的應用程序都是使用操作系統提供的簡單明了的服務來訪問系統的,因為畢竟沒有誰願意自討苦吃
Rootkit基本是由幾個獨立程序組成,壹個典型rootkit包括: 以太網嗅探器程程序,用於獲得網絡上傳輸的用戶名和密碼等信息。 特洛伊木馬程序,為攻擊者提供後門。 隱藏攻擊者目錄和進程的程序。還包括壹些日誌清理工具,攻擊者用其刪除wtmp、utmp和lastlog等日誌文件中有關自己行蹤的條目。 復雜的rootkit還可以向攻擊者提供telnet、shell和finger等服務。還包括壹些用來清理/var/log和/var/adm目錄中其它文件的腳本。
最近最讓IT管理員頭痛的是什麽呢?--毫無疑問是rootkit。這種可惡的程序是壹批工具集,黑客用它來掩飾對計算機網絡的入侵並獲得管理員訪問權限。壹旦黑客獲得管理員訪問權限,就會利用已知的漏洞或者破解密碼來安裝rootkit。然後rootkit會收集網絡上的用戶ID和密碼,這樣黑客就具有高級訪問權限了。
rootkit還有監控網絡數據和按鍵的功能;為黑客在系統上開“後門”;修改日誌文件;攻擊網絡上的其他計算機;修改系統上已有的工具防止被檢測出來。 那麽如何發現rootkit呢?看看三位Windows安全專家對用戶的rootkit問題提供了什麽解決方案吧。//本文來自電腦軟硬件應用網www.45it.com
用戶的問題:我是壹家大型非營利機構的IT管理員。由於我們缺乏資金和人手,我們的許多用戶需要用管理員訪問權限來完成工作。最近,越來越多的用戶抱怨他們的管理員應用程序崩潰了。他們的壹些管理軟件不再工作,例如,壹些系統上的抗病毒軟件神秘的失效了。有的在試圖使用應用程序時藍屏死機,有的計算機莫名其妙地重啟或發送錯誤信息。用普通的間諜軟件和特洛伊木馬掃描工具沒有發現任何問題。是什麽在搗鬼?我們需要重裝所有出現問題的計算機嗎?
專家教妳清除rootkit之診斷:
Kurt Dillard:缺少細節,但是,有壹些關鍵的信息。以前壹直很可靠的各種計算機系統頻繁出現操作系統崩潰的問題意味著受到感染的計算機中的某些東西被改變了。另壹個重要的線索是殺毒軟件自動關閉自己。最後壹個線索是,標準的安全工具不能發現任何惡意軟件表明如果這些計算機中有新的軟件,這種軟件正在偷偷地運行。這種文件隱藏起來了看不到,但是,仍在運行。如果惟壹奇怪的事情是數不清的系統崩潰,我會懷疑操作系統最新使用的補丁、設備驅動程序或者壹個安全應用程序有問題。這些癥候結合在壹起暗示某些惡意的東西在起作用。然而,它也許不是壹個rootkit。妳必須要做額外的研究以便發現正在發生的是什麽。
Lawrence Abrams:當妳的計算機開始出現異常情況時,我想到的第壹件事情就是妳的計算機被間諜軟件、病毒、特洛伊木馬、蠕蟲或者其它形式的惡意軟件感染了。如果在妳使用殺毒軟件和/或者反間諜軟件進行掃描之後繼續存在這個問題,那麽,這個時候就該使用某些工具進行深入的分析了。需要檢查的是計算機的啟動程序,看看是否存在當前殺毒軟件定義中沒有的新的惡意軟件。某些檢測故障的軟件程序是:
HijackThis:這是壹種通用的主頁劫持者檢測和清除工具,能夠連續不斷地更新。
WinPFind:這個工具軟件可以掃描硬盤中的普通位置,查找與已知的惡意軟件使用的方式相匹配的文件。
Silent Runners:這個軟件工具檢查Windows是如何啟動的並且創建壹個文本文件以便進行研究或者作為壹個基準儲存起來。如果沒有檢測到任何東西,設法用安全模式運行這個程序和妳的殺毒/反間諜軟件。很多與蠕蟲壹起發布的普通的rootkit在安全模式不能夠運行。因此,故障排查軟件在安全模式下可以看到這些惡意軟件。
如果在安全模式下發現新的記錄和文件,計算機很可能受到了在Windows正式模式下看不到的普通rootkit的感染。另壹方面,如果妳在安全模式下運行同壹個工具軟件之後仍沒有發現任何可疑的現象,但是這個惡意軟件的行為繼續存在,妳可以推測妳正在應付壹個更高級的rootkit。
Kevin Beaver:考慮到安裝的應用程序的奇怪行為,妳很可能正在對付某種類型的惡意軟件,最有可能是rootkit或者以遠程接入特洛伊木馬。這些惡意軟件能夠讓黑客從外部偷偷進入沒有保護措施的計算機。了解這個事情的惟壹方法是運行能夠掃描或者監視異常行為和rootkit的存在的其它掃描軟件。這種工具可以是Sana安全公司的“Primary Response”,或者Finjan軟件公司的各種解決方案以及Sysinternals公司的“RootkitRevealer”。
我還建議同時運行至少二種或者三種反間諜軟件工具。也許還會有壹些工具軟件妳沒有用到。除了Spybot