Wednesday, December 06, 2006
什么是Rootkit病毒
2006-11-17 13:09 出处:PCHOME
http://netsecurity.51cto.com/art/200611/34827.htm
Rootkit是一种很深的隐藏在操作系统中执行恶意或令人讨厌的程序,比如弹出程序、广告软件或者间谍程序等。
大多数安全解决方案不能检测到它们并加以清除。因为Rootkit在操作系统中隐藏得很深并且是以碎片的形式存在。如果在清除过程中漏掉了任何一个相互关联的碎片,rootkit能够自我激活。
一般的病毒扫描通常是清除病毒程序的执行阶段,但是在重新启动操作系统后rootkit能够再次执行,所以问题并没有彻底解决。要解决问题必须从rootkit本身,也就是从恶意程序的源头去根除。
内核模式的rootkit通常攻击操作文件系统,如果要检测已知及未知的内核模式rootkit,就必须直接访问原始卷并执行干净的启动进行补救。
赛门铁克诺顿2007产品采用Veritas 的VxMS (Veritas 映射服务)技术组件可以直接访问 NTFS 格式的原始卷,并可以绕开 Windows 文件系统 API(应用程序接口)。这种技术使诺顿的反间谍软件能够对运行在驱动程序层面上的rootkit 进行检测并实施补救措施。对于未知的rootkit,赛门铁克采用最新的启发式检测(Heuristic Detection)进行有效防御。
http://netsecurity.51cto.com/art/200611/34827.htm
Rootkit是一种很深的隐藏在操作系统中执行恶意或令人讨厌的程序,比如弹出程序、广告软件或者间谍程序等。
大多数安全解决方案不能检测到它们并加以清除。因为Rootkit在操作系统中隐藏得很深并且是以碎片的形式存在。如果在清除过程中漏掉了任何一个相互关联的碎片,rootkit能够自我激活。
一般的病毒扫描通常是清除病毒程序的执行阶段,但是在重新启动操作系统后rootkit能够再次执行,所以问题并没有彻底解决。要解决问题必须从rootkit本身,也就是从恶意程序的源头去根除。
内核模式的rootkit通常攻击操作文件系统,如果要检测已知及未知的内核模式rootkit,就必须直接访问原始卷并执行干净的启动进行补救。
赛门铁克诺顿2007产品采用Veritas 的VxMS (Veritas 映射服务)技术组件可以直接访问 NTFS 格式的原始卷,并可以绕开 Windows 文件系统 API(应用程序接口)。这种技术使诺顿的反间谍软件能够对运行在驱动程序层面上的rootkit 进行检测并实施补救措施。对于未知的rootkit,赛门铁克采用最新的启发式检测(Heuristic Detection)进行有效防御。
560)this.style.width=560;" onmousewheel="javascript:return big(this)" src="http://netsecurity.51cto.com/files/uploadimg/20061117/1310210.gif" o:title="image001"> |
最新的Rrootkit检测结果
来源: 汤普森计算机安全实验室(Thompson Cyber Security Labs)
560)this.style.width=560;" onmousewheel="javascript:return big(this)" src="http://netsecurity.51cto.com/files/uploadimg/20061117/1310211.gif" o:title="image001"> |