Rootkit介绍(1)
Rootkit ,这个词并没有一个权威的定义。就我的理解,是这么一类工具软件,用于修改操作系统,以改变操作系统的表现行为。而这种改变,往往是不是操作系统设计时所期望的。举个例子,修改操作系统的进程列表,以便特定的进程无法被显示,就是一个典型的Rootkit的目的。
历史
Rootkit这个术语来自于Unix系统。最初,在Unix系统上, ls,ps,netstat等命令,大家从来就没有怀疑过结果的可靠性。例如,用last就可以知道最近的login历史,那么如果那位同志非法登陆了你的机器,就可以轻易监测到。不过,hacker的技术是日新月异,很快,就出现了工具可以隐藏login历史,接下来,一批工具可以修改ls,ps等等命令的结果。这些工具,当时被叫做trojan horses。后来,这些各类trojan horses工具被绑定在一起成了一个工具包(kit),就成为了Rootkit。最早的一个版本是出现在SunOS 4上。
现状
既然Rootkit出现已经不值一天两天,为什么说是一个新的威胁呢?这是因为随着互联网的普及,Windows系统上出现了越来越多的virus,spyware,worm。而最新的趋势是这些软件和Windows上的Rootkit绑定在一起。试想一想,如果一个spyware将自己的进程和registry信息用Rootkit给隐藏起来,普通用户可能就无法发现还有这么一个软件在运行。而且,各种anti-spyware软件恐怕也就不那么有效了。如果连系统中有什么在运行都无法确定,检测和清除有从何谈起呢?