什么是Rootkit?

今天有许多类型的恶意软件,rootkit 恶意软件是其中最常见的一种。 Rootkit 也特别麻烦,因为它们旨在隐藏在您的系统中。

那么如何定义rootkit呢?什么是rootkit攻击?以及如何防范它们?

什么是Rootkit?

Rootkit 是一种恶意软件,旨在通过利用高级入侵媒介绕过标准安全协议来攻击计算机系统。 Rootkit 还使用复杂的混淆技术隐藏在系统内核中。

通常,rootkit 恶意软件用于监视系统活动、窃取数据、控制重要的机器操作以及安装其他类型的恶意软件。这通常是通过获得高级系统管理权限来实现的。

因此,其中许多很难消除。在某些情况下,需要彻底重新格式化硬盘驱动器并重新安装操作系统才能消除此类计算机蠕虫。在极端情况下,更换硬件是最终的解决方案。

Rootkit 恶意软件的类型

有多种类型的 rootkit 恶意软件。以下是一些最常见的 rootkit 类型。

1. 固件 Rootkit

最先进的rootkit 是固件rootkit。这是因为它们的目标是高特权部门,例如基本输入/输出系统 (BIOS)和统一可扩展固件接口 (UEFI) 组件。

BIOS 和 UEFI 是主要目标,因为它们承载具有超出 Ring 0 权限的重要系统组件。 BIOS 和 UEFI 还负责在计算机启动时加载所有核心固件、软件和硬件系统。

相关:什么是 UEFI 以及它如何让您更安全?

破坏这些系统组件可以让黑客更好地控制系统资源。

2. 硬件 Rootkit

硬件 Rootkit 旨在针对硬件外围设备,例如 Wi-Fi 路由器、网络摄像头和硬盘驱动器。

它们通常被称为硬件恶意软件,因为它们能够控制硬件系统组件,拦截通过它们的任何有用数据,并将其发送给黑客。

3.引导加载程序Rootkit

引导加载程序 rootkit 以系统中的主引导记录段为目标。 Bootloader 负责启动操作系统。

它定位操作系统在硬盘驱动器中的存储位置,以允许通过随机存取存储器 (RAM) 进行引导。通过用黑客创建的引导加载程序替换默认引导加载程序,攻击者可以访问大多数系统模块。

4. 应用程序Rootkit

应用程序 rootkit 是最常见的 rootkit 类型。它们针对 Windows 中的应用程序,尤其是那些通常用于输入敏感数据的应用程序。

最有针对性的应用程序通常是浏览器和原生 Windows 应用程序,例如 Microsoft Word 和 Excel。

Rootkit 恶意软件如何进入系统

Rootkit 恶意软件通常通过各种方式感染计算机系统。

1. 便携式数据存储介质

通过数据存储介质(如 USB 闪存和外部硬盘驱动器)感染是最常见的。这是因为它们很受欢迎、价格低廉且便于携带。由于它们经常用于在计算机之间传输数据,因此它们经常成为感染活动的目标。

在大多数情况下,旨在通过 USB 驱动器传播的恶意软件能够检测到设备何时插入计算机。一旦建立,它就会执行将自身嵌入到硬盘驱动器上的恶意代码。这种攻击技术可以帮助黑客获得新的连续受害者。

2. 受感染的附件

另一个有助于传播 Rootkit 的感染媒介是受感染的附件。在这些类型的策略中,带有恶意软件附件的看起来合法的电子邮件被发送到目标,通常伪装成紧急通知。打开电子邮件并下载附件后,恶意软件感染序列就开始了。

如果感染成功,黑客会使用 rootkit 修改操作系统目录和注册表项。他们还可以拦截计算机上的敏感数据和通信,例如聊天消息。

相关:如何发现不安全的电子邮件附件

为了远程控制计算功能,入侵者使用rootkit打开Windows中的TCP端口并编写防火墙例外。

3. 在 Torrent 站点上下载未签名的应用程序

另一种帮助新 rootkit 感染传播的方法是通过从洪流站点下载未签名的应用程序。由于文件在大多数情况下已损坏,因此通常无法确定其安全性。

因此,许多应用程序都充满了恶意软件,包括 rootkit。

如何防止和删除 Rootkit 恶意软件

Rootkit 一旦获得了一台机器,就极其有害。以下是一些可以防止 rootkit 感染的方法。

1. 使用信誉良好的杀毒软件

尝试防止 rootkit 感染时,首先要采取的步骤之一是使用信誉良好的防病毒软件。针对此类感染的最佳防病毒套件包括 Avast、卡巴斯基、Bitdefender、ESET Nod32 和 Malwarebytes。

卡巴斯基有一个名为 Kaspersky TDSSKiller 的快速专用工具,旨在检测和删除 TDSS rootkit 系列。扫描通常只需要几分钟。 McAfee 还拥有独立的 RootkitRemover 工具,可以清除 Necurs、ZeroAccess 和 TDSS Rootkit。

2. 避免打开未知来源的电子邮件

Rootkit 有时会通过电子邮件和聊天应用程序中的附件进行传播。通常,黑客会诱使目标打开一封包含可疑报价或紧急通知的电子邮件。

打开附件后,感染序列就开始了。

不要下载附件或单击您不确定的电子邮件中的链接。

3. 更新软件

每隔一段时间,黑客就会瞄准充满漏洞的过时应用程序。这是 Windows 定期发布系统补丁并建议开启自动更新的主要原因之一。

根据经验,浏览器等敏感应用程序应定期更新,因为它们是互联网的网关。因此,它们的安全性对于保护整个操作系统至关重要。

相关: 了解恶意软件:您应该了解的常见类型

最新版本通常具有更新的安全功能,例如反密码劫持、弹出窗口阻止程序和反指纹机制。安装的防病毒软件和防火墙也应定期更新。

4. 使用 Rootkit 检测扫描程序

最好使用各种rootkit 检测工具来防止这些类型的感染。并非所有的 rootkit 都可以使用某些防病毒软件检测到。因为大多数 rootkit 是在系统进程开始时触发的,所以在系统启动时运行的扫描程序是必不可少的。

在这种情况下,Avast 启动时间扫描程序是其中最好的。它会在 Windows 启动之前开始扫描恶意软件和 rootkit,并且在它们通过模拟隐藏在系统内核中之前非常有效地捕获它们。

防御 Rootkit 病毒

在安全模式下扫描系统是用于捕获大多数处于非活动形式的病毒的另一种技巧。如果这不起作用,格式化硬盘驱动器并重新安装操作系统会有所帮助。

为了对 rootkit 进行高级保护,建议使用 Secured-core 计算机替换标准计算机。他们拥有最新、最复杂的威胁预防机制。