如今，rootkit 檢測如何工作？

您可能熟悉計算機病毒、廣告軟件、間諜軟件和其他惡意程序，它們在很大程度上被視為威脅。 但是，不同形式或類別的惡意軟件（rootkit）可能是其中最危險的。 “危險”是指惡意程序可能造成的損害程度以及用戶在查找和刪除它時遇到的困難。

什麼是 rootkit？

Rootkit 是一種惡意軟件，旨在授予未經授權的用戶訪問計算機（或計算機上的某些應用程序）的權限。 Rootkit 被編程為在保持特權訪問的同時保持隱藏（看不見）。 在 rootkit 進入計算機後，它很容易掩蓋它的存在，用戶不太可能注意到它。

rootkit 對 PC 有何危害？

本質上，通過 Rootkit，網絡犯罪分子可以控制您的計算機。 借助如此強大的惡意程序，它們可以強迫您的 PC 執行任何操作。 他們可以竊取您的密碼和其他敏感信息，跟踪您計算機上正在執行的所有活動或操作，甚至禁用您的安全程序。

鑑於 Rootkit 劫持或關閉安全應用程序的強大能力，它們很難檢測或對抗，甚至比一般的惡意程序更難。 Rootkit 可以在計算機上長期存在或運行，同時逃避檢測並造成重大損害。

有時，當高級 rootkit 發揮作用時，用戶別無選擇，只能刪除計算機上的所有內容並重新開始——如果他們想擺脫惡意程序的話。

每個惡意軟件都是rootkit嗎？

沒有。如果有的話，只有一小部分惡意軟件是 rootkit。 與其他惡意程序相比，rootkit 在設計和編程方面相當先進。 Rootkit 可以做的比一般的惡意軟件要多得多。

如果我們按照嚴格的技術定義，那麼 rootkit 並不完全是惡意程序的一種形式或類型。 Rootkit 僅對應於用於在目標（通常是特定計算機或個人或組織）上部署惡意軟件的過程。 可以理解的是，由於 rootkit 經常出現在有關網絡攻擊或黑客攻擊的新聞中，因此該術語已帶有負面含義。

公平地說，rootkit 的運行方式與惡意軟件非常相似。 他們喜歡不受限制地對受害者的計算機進行操作； 他們不希望保護設施識別或找到它們； 他們通常試圖從目標計算機上竊取東西。 歸根結底，rootkit 是一種威脅。 因此，他們必須被阻止（首先阻止他們進入）或解決（如果他們已經找到了進入的方式）。

為什麼使用或選擇 rootkit？

攻擊者出於多種目的使用 Rootkit，但大多數情況下，他們會嘗試使用它們來改進或擴展惡意軟件的隱身能力。 隨著隱蔽性的提高，部署在計算機上的惡意負載可能會在更長時間內未被檢測到，而惡意程序則可以從網絡中竊取或刪除數據。

Rootkit 非常有用，因為它們提供了一種方便的方式或平台，未經授權的行為者（黑客甚至政府官員）可以通過它獲得對系統的後門訪問。 Rootkit 通常通過破壞登錄機制來強制計算機為其他人提供秘密登錄訪問權限來實現此處描述的目標。

Rootkit 也可以被部署來破壞或壓倒計算機，讓攻擊者獲得控制權並將設備用作執行某些任務的工具。 例如，黑客以帶有 Rootkit 的設備為目標，並將其用作 DDoS（分佈式拒絕服務）攻擊的機器人。 在這種情況下，如果 DDoS 的源頭被檢測和追踪，它將導致受感染的計算機（受害者）而不是真正負責的計算機（攻擊者）。

參與此類攻擊的受感染計算機通常稱為殭屍計算機。 DDoS 攻擊並不是攻擊者對受感染計算機所做的唯一壞事。 有時，黑客會使用受害者的計算機進行點擊欺詐或分發垃圾郵件。

有趣的是，在某些情況下，管理員或普通個人出於良好目的部署了 rootkit，但這樣的例子仍然很少見。 我們已經看到有關一些 IT 團隊在蜜罐中運行 rootkit 以檢測或識別攻擊的報告。 好吧，這樣，如果他們成功完成任務，他們就可以增強他們的仿真技術和安全應用程序。 他們還可能獲得一些知識，然後他們可以將其應用於改進防盜保護設備。

然而，如果您不得不處理 rootkit，那麼該 rootkit 很可能會被用來對付您（或您的利益）。 因此，學習如何檢測該類中的惡意程序以及如何保護自己（或您的計算機）免受惡意程序攻擊是很重要的。

Rootkit 的類型

有不同形式或類型的 rootkit。 我們可以根據它們的感染方式和它們在計算機上的操作水平對它們進行分類。 好吧，這些是最常見的 rootkit 類型：

1. 內核模式 rootkit：

內核模式 rootkit 是旨在將惡意軟件插入操作系統內核以更改操作系統功能或設置的 rootkit。 “內核”是指操作系統的中心部分，它控製或鏈接硬件和應用程序之間的操作。

攻擊者發現部署內核模式 rootkit 很困難，因為如果使用的代碼失敗，此類 rootkit 往往會導致系統崩潰。 但是，如果他們確實成功部署，那麼 rootkit 將能夠造成難以置信的破壞，因為內核通常擁有系統中的最高權限級別。 換句話說，通過成功的內核模式 rootkit，攻擊者可以輕鬆地利用受害者的計算機。

2. 用戶模式 rootkit：

此類中的 rootkit 是通過充當普通程序或常規程序來執行的。 它們傾向於在應用程序運行的相同環境中運行。 出於這個原因，一些安全專家將它們稱為應用程序 rootkit。

用戶模式 rootkit 相對更容易部署（比內核模式 rootkit），但它們的能力較弱。 它們比內核 rootkit 造成的損害更小。 理論上，安全應用程序也發現處理用戶模式 rootkit 更容易（與其他形式或類別的 rootkit 相比）。

3. Bootkit（引導 rootkit）：

Bootkit 是通過感染主引導記錄來擴展或改進常規 rootkit 能力的 rootkit。 在系統啟動期間被激活的小程序構成了主引導記錄（有時縮寫為 MBR）。 bootkit 基本上是一個攻擊系統的程序，它可以用被黑的版本替換正常的引導加載程序。 這樣的 rootkit 甚至在計算機的操作系統啟動和穩定下來之前就被激活了。

鑑於 bootkits 的感染模式，攻擊者可以將它們用於更持久的攻擊形式，因為它們被配置為在系統啟動時運行（即使在防禦性重置之後）。 此外，它們往往在系統內存中保持活躍，這是一個很少被安全應用程序或 IT 團隊掃描以查找威脅的位置。

4. 內存rootkit：

內存 rootkit 是一種旨在隱藏在計算機 RAM 中的 rootkit（隨機存取存儲器的首字母縮寫詞，與臨時內存相同）。 這些 rootkit（一旦進入內存）然後在後台執行有害操作（用戶不知道它們）。

幸運的是，內存 rootkit 的壽命往往很短。 它們只能在您計算機的 RAM 中進行會話。 如果你重新啟動你的電腦，那麼它們就會消失——至少在理論上，它們應該會消失。 然而，在某些情況下，重啟過程是不夠的； 用戶最終可能不得不做一些工作來擺脫內存 rootkit。

5. 硬件或固件 rootkit：

硬件或固件 rootkit 的名稱來自它們在計算機上的安裝位置。

眾所周知，這些 rootkit 可以利用系統固件中嵌入的軟件。 固件是指為特定硬件（或設備）提供低級別控製或指令的特殊程序類。 例如，您的筆記本電腦具有由其製造商加載的固件（通常是 BIOS）。 你的路由器也有固件。

由於固件 rootkit 可以存在於路由器和驅動器等設備上，它們可以隱藏很長時間——因為很少檢查或檢查這些硬件設備的代碼完整性（如果它們甚至被檢查過的話）。 如果黑客使用 Rootkit 感染您的路由器或驅動器，那麼他們將能夠攔截流經設備的數據。

如何遠離 rootkit（給用戶的提示）

即使是最好的安全程序仍然與 rootkit 作鬥爭，因此您最好採取一切必要措施來防止 rootkit 首先進入您的計算機。 保持安全並不難。

如果您堅持最佳安全實踐，那麼您的計算機被 rootkit 感染的機會就會大大降低。 這裡是其中的一些：

1. 下載並安裝所有更新：

您根本無法忽略任何更新。 是的，我們知道應用程序的更新可能很煩人，操作系統版本的更新可能會令人不安，但您不能沒有它們。 保持程序和操作系統的更新可確保您獲得安全漏洞或漏洞的補丁，攻擊者利用這些漏洞將 rootkit 注入您的計算機。 如果漏洞和漏洞被關閉，您的 PC 會變得更好。

2. 注意網絡釣魚電子郵件：

網絡釣魚電子郵件通常由詐騙者發送，他們希望誘騙您向他們提供您的個人信息或敏感詳細信息（例如登錄詳細信息或密碼）。 然而，一些網絡釣魚電子郵件鼓勵用戶下載和安裝一些軟件（通常是惡意的或有害的）。

此類電子郵件可能看起來像是來自合法發件人或受信任的個人，因此您必須提防它們。 不要回應他們。 不要單擊其中的任何內容（鏈接、附件等）。

3. 注意路過式下載和意外安裝：

在這裡，我們希望您注意下載到您計算機上的內容。 您不想獲得惡意文件或安裝惡意程序的不良應用程序。 您還必須注意您安裝的應用程序，因為某些合法應用程序與其他程序捆綁在一起（可能是惡意程序）。

理想情況下，您應該只從官方頁面或下載中心獲取官方版本的程序，在安裝過程中做出正確的選擇，並註意所有應用程序的安裝過程。

4. 安裝保護實用程序：

如果 rootkit 要進入您的計算機，那麼它的進入很可能與您計算機上存在或存在的另一個惡意程序有關。 好的防病毒或反惡意軟件應用程序很有可能會在引入或激活 rootkit 之前檢測到原始威脅。

受到推崇的

使用反惡意軟件保護 PC 免受威脅

檢查您的 PC 是否存在您的防病毒軟件可能遺漏的惡意軟件，並使用 Auslogics Anti-Malware 安全刪除威脅

Auslogics Anti-Malware 是 Auslogics 的產品，獲得了 Microsoft Silver Application Developer 認證

現在下載

如何檢測 rootkit（以及給組織和 IT 管理員的一些提示）

很少有實用程序能夠檢測和刪除 rootkit。 即使是勝任的安全應用程序（已知可以處理此類惡意程序）有時也會遇到困難或無法正確完成工作。 當惡意軟件存在並在內核級別（內核模式 rootkit）運行時，Rootkit 刪除失敗更為常見。

有時，在機器上重新安裝操作系統是擺脫 rootkit 的唯一方法。 如果您正在處理固件 rootkit，那麼您最終可能不得不更換受影響設備內的一些硬件部件或獲得專門的設備。

最好的 rootkit 檢測過程之一需要用戶執行 rootkit 的頂級掃描。 “頂級掃描”是指在受感染機器關閉時由單獨的干淨系統操作的掃描。 從理論上講，這樣的掃描應該足以檢查攻擊者留下的簽名，並且應該能夠識別或識別網絡上的一些犯規行為。

您還可以使用內存轉儲分析來檢測 rootkit，尤其是當您懷疑涉及鎖定到系統內存以進行操作的 bootkit 時。 如果在普通計算機的網絡中存在 rootkit，那麼如果它正在執行涉及內存使用的命令，它可能不會被隱藏——並且託管服務提供商 (MSP) 將能夠查看惡意程序發出的指令.

行為分析是另一種可靠的程序或方法，有時用於檢測或跟踪 rootkit。 在這裡，您不能直接通過檢查系統內存或觀察攻擊特徵來檢查 rootkit，而必須在計算機上查找 rootkit 症狀。 諸如運行速度慢（比正常速度慢很多）、奇怪的網絡流量（不應該存在）和其他常見的異常行為模式之類的事情應該讓 rootkits 離開。

管理服務提供商實際上可以在其客戶系統中部署最小權限原則 (PoLP) 作為一種特殊策略，以處理或減輕 rootkit 感染的影響。 使用 PoLP 時，系統被配置為限製網絡上的每個模塊，這意味著各個模塊只能訪問其工作（特定目的）所需的信息和資源。

好吧，建議的設置確保了網絡分支之間更嚴格的安全性。 它還足以阻止未經授權的用戶將惡意軟件安裝到網絡內核，這意味著它可以防止 rootkit 侵入並造成麻煩。

幸運的是，平均而言，rootkit 正在下降（與過去幾年激增的其他惡意程序的數量相比），因為開發人員正在不斷提高操作系統的安全性。 端點防禦越來越強大，更多的 CPU（或處理器）被設計為採用內置的內核保護模式。 然而，目前，rootkits 仍然存在，無論在哪裡發現它們都必須被識別、終止和刪除。