Rootkit详解

　　关于Rootkit，我们可以先来看看维基百科的基本简介：
　　A rootkit is a program （or combination of several programs） designed to take fundamental control （in Unix terms "root" access, in Windows "Administrator" access） of a computer system, without authorization by the system's owners and legitimate managers. Access to the hardware （e.g., the reset switch） is rarely required as a rootkit is intended to seize control of the operating system running on the hardware. Typically, rootkits act to obscure their presence on the system through subversion or evasion of standard operating system security mechanisms. Often, they are Trojans as well, thus fooling users into believing they are safe to run on their systems. Techniques used to accomplish this can include concealing running processes from monitoring programs, or hiding files or system data from the operating system.
　　Rootkits may have originated as regular applications, intended to take control of a failing or unresponsive system, but in recent years have been largely malware to help intruders gain access to systems while avoiding detection. Rootkits exist for a variety of operating systems, such as Microsoft Windows, Linux, Mac OS, and Solaris. Rootkits often modify parts of the operating system or install themselves as drivers or kernel modules, depending on the internal details of an operating system's mechanisms.
　　那么，怎么用中文来详细阐述Rootkit呢？我想这得从它的历史说起。
　　Rootkit一词最早出现于1994年2月，总体来说，Rootkit算是一个比较老的词汇。在一篇名为《Ongoing Network Monitoring Attacks》的文章中，我们首次见到了他的面孔。从最初出现到现在，rootkit的技术发展非常迅速，应用越来越广泛，检测难度也越来越大。Rootkit的快速发展，取决于它先天的技术优势，由于可以隐藏自己的踪迹并进行秘密探测行为，所以Rootkit从一开始就得到了黑客们的广泛推崇。
　　现在，我们就给Rootkit一个完整的定义：
　　Rootkit，是一种奇特的程序或代码，它具有隐身功能，无论静止时（作为文件存在），还是活动时（作为进程存在），都不会被察觉。也就是说，rootkit本身并不能获取系统的访问权限，它只被攻击者用来隐藏自己的踪迹。通常情况下，攻击者通过远程攻击获得root访问权限，进入系统后，会在侵入的主机中安装rootkit，然后他将经常通过rootkit的后门检查系统是否有其他的用户登录，如果只有自己，攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后，攻击者就会利用这些信息侵入其它的系统。
　　Rootkit 是一种特殊类型的malware（恶意软件）。Rootkit 之所以特殊是因为您不知道它们在做什么事情。Rootkit 基本上是无法检测到的，而且几乎不可能删除它们。虽然检测工具在不断增多，但是恶意软件的开发者也在不断寻找新的途径来掩盖他们的踪迹。
　　Rootkit 的目的在于隐藏自己以及其他软件不被发现。它可以通过阻止用户识别和删除攻击者的软件来达到这个目的。Rootkit 几乎可以隐藏任何软件，包括文件服务器、键盘记录器、Botnet 和 Remailer。许多 Rootkit 甚至可以隐藏大型的文件集合并允许攻击者在您的计算机上保存许多文件，而您无法看到这些文件。
　　一个典型rootkit包括：
　　1、以太网嗅探器程程序，用于获得网络上传输的用户名和密码等信息。
　　2、特洛伊木马程序，例如：inetd或者login，为攻击者提供后门。
　　3、隐藏攻击者的目录和进程的程序，例如：ps、netstat、rshd和ls等。
　　4、一些日志清理工具，例如：zap、zap2或者z2，攻击者使用这些清理工具删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。
　　一些复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务，甚至还包括一些用来清理/var/log和/var/adm目录中其它文件的一些脚本。
　　Rootkit活动方式：
　　攻击者使用rootkit中的相关程序替代系统原来的ps、ls、netstat和df等程序，使系统管理员无法通过这些工具发现自己的踪迹。接着使用日志清理工具清理系统日志，消除自己的踪迹。然后，攻击者会经常地通过安装的后门进入系统查看嗅探器的日志，以发起其它的攻击。如果攻击者能够正确地安装rootkit并合理地清理了日志文件，系统管理员就会很难察觉系统已经被侵入，直到某一天其它系统的管理员和他联系或者嗅探器的日志把磁盘全部填满，他才会察觉已经大祸临头了。但是，大多数攻击者在清理系统日志时不是非常小心或者干脆把系统日志全部删除了事，警觉的系统管理员可以根据这些异常情况判断出系统被侵入。不过，在系统恢复和清理过程中，大多数常用的命令例如ps、df和ls已经不可信了。许多rootkit中有一个叫做FIX的程序，在安装rootkit之前，攻击者可以首先使用这个程序做一个系统二进制代码的快照，然后再安装替代程序。FIX能够根据原来的程序伪造替代程序的三个时间戳（atime、ctime、mtime）、date、permission、所属用户和所属用户组。如果攻击者能够准确地使用这些优秀的应用程序，并且在安装rootkit时行为谨慎，就会让系统管理员很难发现。
　　如何发现rootkit
　　很显然，只有使你的网络非常安全让攻击者无隙可乘，才能是自己的网络免受rootkit的影响。不过，恐怕没有人能够提供这个保证，但是在日常的网络管理维护中保持一些良好的习惯，能够在一定程度上减小由rootkit造成的损失，并及时发现rootkit的存在。
　　首先，不要在网络上使用明文传输密码，或者使用一次性密码。这样，即使你的系统已经被安装了rootkit，攻击者也无法通过网络监听，获得更多用户名和密码，从而避免入侵的蔓延。
　　同样，使用Tripwire和aide等检测工具能够及时地帮助你发现攻击者的入侵，它们能够很好地提供系统完整性的检查。这类工具不同于其它的入侵检测工具，它们不是通过所谓的攻击特征码来检测入侵行为，而是监视和检查系统发生的变化。Tripwire首先使用特定的特征码函数为需要监视的系统文件和目录建立一个特征数据库，所谓特征码函数就是使用任意的文件作为输入，产生一个固定大小的数据（特征码）的函数。入侵者如果对文件进行了修改，即使文件大小不变，也会破坏文件的特征码。利用这个数据库，Tripwire可以很容易地发现系统的变化。而且文件的特征码几乎是不可能伪造的，系统的任何变化都逃不过Tripwire的监视（当然，前提是你已经针对自己的系统做了准确的配置）。最后，需要指出的是，您需要把这个特征码数据库放到安全的地方。
　　预防方式：
　　预防Rootkit的最佳办法是防止Rootkit进入您的系统，为了实现这个目的，可以使用与防范所有攻击计算机的恶意软件一样的深入防卫策略。深度防卫的要素包括：病毒扫描程序、定期更新软件、在主机和网络上安装防火墙，以及强密码策略等。
　　在发现系统中存在 Rootkit 之后，能够采取的补救措施也较为有限。由于 Rootkit 可以将自身隐藏起来，所以您可能无法知道它们已经在系统中存在了多长的时间。而且您也不知道 Rootkit 已经对哪些信息造成了损害。对于找出的 Rootkit，最好的应对方法便是擦除并重新安装系统。虽然这种手段很严厉，但是这是得到证明的唯一可以彻底删除 Rootkit 的方法。
　　本篇文章的大部分资料来自于百度，特此说明！

文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags: RootkitRootkit
相关日志: