Rootkit介绍

一、定义

  Rootkit是一种恶意软件,旨在让黑客访问和控制目标设备。虽然大多数Rootkit 会影响软件和操作系统,但有些还会感染计算机的硬件和固件。Rootkit善于隐藏自己,担当它们保持隐藏时,其实处于活跃状态。

  一旦未经授权获得对计算机的访问权限,Rootkit就使犯罪分子可以窃取个人数据和财务信息,安装恶意软件或将计算机用作僵尸网络的一部分,以散步垃圾邮件和参与DDoS攻击。

  名称“Rootkit”源自Unix和Linux操作系统,其中权限最高的账户管理员被称为“root”。允许未经授权的root或管理员级别访问设备的应用程序被称为“工具包”。

二、什么是Rootkit

  Rootkit 是网络犯罪分子用来控制目标计算机或网络的软件。Rootkit 有时可以显示为单个软件,但通常由一系列工具组成,这些工具允许黑客对目标设备进行管理员级控制。

  黑客通过多种方式在目标计算机上安装 Rootkit:

  1)最常见的是通过网络钓鱼或其他类型的社会工程攻击。受害者在不知不觉中下载并安装隐藏在计算机上运行的其他进程中的恶意软件,并让黑客控制操作系统的几乎所有方面。

  2)另一种方法是利用漏洞(即软件或未更新的操作系统中的弱点)并将 Rootkit 强制安装到计算机上。

  3)恶意软件还可以与其它文件捆绑在一起,例如受感染的 PDF、盗版媒体或从可疑的第三方商店获得的应用。

  Rootkit 在操作系统的内核附近或内核内运行,这使它们能够向计算机发起命令。任何使用操作系统的东西都是 Rootkit 的潜在目标 —— 随着物联网的扩展,它可能包括冰箱或恒温器等物品。

  Rootkit 可以隐藏键盘记录器,在未经您同意的情况下捕获您的击键。这使得网络犯罪分子很容易窃取您的个人信息,例如信用卡或网上银行详细信息。Rootkit 可让黑客使用您的计算机发起 DDoS 攻击或发送垃圾邮件。它们甚至可以禁用或删除安全软件。

  一些 Rootkit 用于合法目的 —— 例如,提供远程 IT 支持或协助执法。大多数情况下,它们用于恶意目的。Rootkit 如此危险的原因是它们可以提供各种形式的恶意软件,它们可以操纵计算机的操作系统并为远程用户提供管理员访问权限。

三、Rootkit类型

1、硬件或固件Rootkit

  硬件或固件 Rootkit 可以影响您的硬盘驱动器、路由器或系统的 BIOS,这是安装在计算机主板上的小内存芯片上的软件。它们不是针对您的操作系统,而是针对您的设备的固件安装难以检测的恶意软件。因为它们会影响硬件,所以可让黑客记录您的击键以及监控在线活动。虽然与其它类型相比不太常见,但硬件或固件 Rootkit 是对在线安全的严重威胁。

2、Bootloader  Rootkit

  Bootloader 机制负责在计算机上加载操作系统。Bootloader Rootkit 可攻击此系统,用被破解的 Bootloader 替换您计算机的合法 Bootloader。这甚至可以在计算机的操作系统完全加载之前激活 Rootkit。

3、内存Rootkit

  内存 Rootkit 隐藏在计算机的随机存取内存 (RAM) 中,使用计算机的资源在后台执行恶意活动。内存 Rootkit 会影响计算机的 RAM 性能。因为它们只存在于计算机的 RAM 中,不会注入永久代码,所以一旦重新启动系统,内存 Rootkit 就会消失 —— 尽管有时需要进一步的工作才能摆脱它们。它们的寿命短意味着它们往往不会被视为重大威胁。

4、应用程序Rootkit

  应用程序 Rootkit 将计算机中的标准文件替换为 Rootkit 文件,甚至可能改变标准应用程序的工作方式。这些 Rootkit 会感染 Microsoft Office、Notepad 或 Paint 等程序。每次运行这些程序时,攻击者都可以访问您的计算机。由于受感染的程序仍然正常运行,Rootkit 检测对于用户来说很困难 —— 但防病毒程序可以检测到它们,因为它们都在应用程序层上运行。

5、内核模式Rootkit

  内核模式 Rootkit 是这种威胁最严重的类型之一,因为它们针对操作系统的核心(即内核级别)。黑客使用它们不仅可以访问计算机上的文件,还可以通过添加自己的代码来更改操作系统的功能。

6、虚拟Rootkit

  虚拟 Rootkit 会在计算机的操作系统下自行加载。然后,它将目标操作系统托管为虚拟机,从而允许它拦截原始操作系统进行的硬件调用。这种类型的 Rootkit 不必修改内核来颠复操作系统,可能非常难检测。

 如图所示,有四个层次的保护环(称为保护环)定义了CPU执行程序时程序的权限。放在较高环上的程序不能膨胀较低环上的应用程序。环0给予操作系统内核,环1给予硬件驱动程序,环2给予具有低级访问权限的程序。大多数第三方应用程序使用环3,因为它们不需要任何深层次权限。在环2中实施恶意软件意味着您可以控制所有用户应用程序; 在环1中几乎所有计算机操作都会发生。

四、常见Rootkit

1、Stuxnet

  历史上最臭名昭著的 Rootkit 之一是 Stuxnet,这是一种在 2010 年发现的恶意计算机蠕虫,据信自 2005 年以来一直在开发中。Stuxnet 对伊朗的核计划造成了重大破坏。虽然这两个国家都不承认责任,但人们普遍认为这是美国和以色列在称为奥运会的合作努力中共同创造的网络武器。

2、Flame

  2012 年,网络安全专家发现了 Flame,这是一种主要用于中东的网络间谍活动的 Rootkit。Flame(也称为Flamer、sKyWIper 和 Skywiper)可影响计算机的整个操作系统,使其能够监控流量、捕获屏幕截图和音频、并记录设备击键。Flame 背后的黑客没有被发现,但研究表明它们使用横跨三大洲的 80 台服务器访问受感染的计算机。

3、Necurs

  2012 年,Necurs 作为 Rootkit 出现,据报道当年被在 83,000 起感染中检测到。Necurs 与东欧的精英网络犯罪分子有关,被认为由于其技术复杂性和演化能力而脱颖而出。

4、ZeroAccess

  2011 年,网络安全专家发现了 ZeroAccess,这是一种内核模式 Rootkit,感染了全球超过 200 万台计算机。该 Rootkit 不直接影响受感染计算机的功能,而是在受感染计算机上下载并安装恶意软件,使其成为黑客用于进行网络攻击的全球僵尸网络的一部分。ZeroAccess 如今正在积极使用中。

5、TDSS

  2008 年,TDSS Rootkit 被首次检测到。它与 Bootloader Rootkit 类似,因为它在操作系统的早期阶段加载和运行,使得检测和删除成为挑战

五、如何检测Rootkit

  在计算机上检测 Rootkit 的存在可能很困难,因为这种恶意软件明确设计为保持隐藏。Rootkit 还可以禁用安全软件,这使得任务更加困难。因此,Rootkit 恶意软件可能会在您的计算机上长时间保留,从而造成重大损害。

  Rootkit 恶意软件的可能迹象包括:

  1)蓝屏

    大量的Windows错误消息或带有白色文本的蓝屏(有时称为“蓝屏死机”),导致计算机不算需要重新启动。

  2)异常网络浏览器行为

    这可能包括无法识别的书签或链接重定向

  3)设备性能缓慢

    设备可能需要一段时间才能启动并执行缓慢或经常死机。它还可能无法响应来自鼠标或键盘的输入。

  4)Windows设置未经许可更改

    在没有更改任何东西的情况下,可能包括屏幕程序更改、任务栏隐藏本身、或显示不正确的日期和时间。

  5)网页运行不正常

    由于网络流量过多,网页或网络活动出现间歇性或无法正常运行。

    Rootkit 扫描是检测 Rootkit 感染的最佳方式,您的防病毒解决方案可以启动它。如果您怀疑有 Rootkit 病毒,检测感染的一种方法是关机并从已知的干净系统执行扫描。

    行为分析是 Rootkit 检测的另一种方法。这意味着不是寻找 Rootkit,而是寻找类似 Rootkit 的行为。如果您知道系统的行为很奇怪,那么有针对性的扫描效果很好,行为分析可能会在您意识到自己受到攻击之前提醒您 Rootkit。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/570056.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

让更多的人能使用AI才能提升国内AI竞争力

随着人工智能技术的快速发展,AI正在深入影响我们的生活和工作。然而,目前AI技术的使用和应用主要集中在少数大型科技公司和研究机构,普通大众对AI技术的接触和使用还相对有限。如何让更多的人能够便捷地使用AI,从而带动整个国内AI产业的发展,已成为当前亟需解决的问题。 首先…

SQLAIchemy 异步DBManager封装-03得心应手

前言 SQLAIchemy 异步DBManager封装-01入门理解SQLAIchemy 异步DBManager封装-02熟悉掌握 在前两篇文章中,我们详细介绍了SQLAlchemy异步DBManager的封装过程。第一篇文章帮助我们入门理解了整体的封装结构和思路,第二篇文章则帮助我们更加熟悉和掌握了这…

Github进行fork后如何与原仓库同步

前言 fork了一个仓库以后怎么同步源仓库的代码? 步骤 1、执行命令 git remote -v 查看你的远程仓库的路径。 以一个实际例子说明, 来源仓库: TheFirstLineOfCode/basaltgit remote -v得到: origin https://github.com/ghmi…

“亚马逊依赖”之下,傲基科技的品牌势能如何提升?

受益于出口政策红利、低人工成本、完善的供应链以及成熟的生产工艺优势,近年来我国家具出口行业迅速发展。 数据显示,我国家具出口规模1995年仅为11.06亿美元,至2023年增至641.96亿美元。随着出口规模持续扩大,相关企业积极走入公…

Java高级阶段面试题库(Redis数据库、MQ消息队列、kafka、SpringBoot + SpringCloud、MySQL、JVMJUC、其它)

文章目录 1. Redis数据库篇(忽略)1.1 简单介绍一下redis1.2 单线程的redis为什么读写速度快?1.3 redis为什么是单线程的?1.4 redis服务器的的内存是多大?1.5 为什么Redis的操作是原子性的,怎么保证原子性的?1.6 你还用过其他的缓存吗?这些…

基于深度学习的车牌识别

如果你认为车牌只是车子的‘名字’,那么是时候让你见识一下,当科技赋予它‘超能力’时会发生什么? 上效果图; 这就是车牌识别的力量,下面是主函数代码: # -*- coding: UTF-8 -*- import argparse import …

使用d3.js画一个BoxPlot

Box Plot 在画Box Plot之前,先来了解下Box Plot是什么? 箱线图(Box Plot)也称盒须图、盒式图或箱型图,是一种用于展示数据分布特征的统计图表。 它由以下几个部分组成: 箱子:表示数据的四分…

阶段性学习汇报 4月19日

目录 一、毕业设计和毕业论文 二、学习python和vue 三、阅读知识图谱 四、下周规划 一、毕业设计和毕业论文 毕业设计后端功能基本实现,但是还有些具体的细节需要优化。前端小程序部分只有个前端页面以及部分交互逻辑,还需进一步完善。在疾病预测这里本…

3d模型合并怎么样不丢材质?---模大狮模型网

在3D设计中,合并模型是常见的操作,它可以帮助设计师将多个单独的模型组合成一个,从而简化场景并提高渲染效率。然而,合并模型时常常会面临一个棘手的问题:如何确保合并后的模型不丢失原有的材质?本文将探讨如何在合并…

电力调度自动化系统由什么构成?

电力调度自动化系统由什么构成? 电力调度自动化系统通过数据采集与传输、数据处理与存储、监视与控制、优化与决策、通信网络和系统应用软件等构成,实现对电力系统的监控、控制和优化。 电力调度自动化系统是一种集成了计算机技术、通信技术、自动化技术…

推荐5款我每次系统重装必装的软件

​ 你电脑中用的最久的软件是哪些?以下是否有你曾经使用过的软件呢?工欲善其事,必先利其器,今天继续分享五款实用的办公软件。 1.素材管理——Billfish ​ Billfish是一款专业的素材管理工具,适用于设计师、摄影师等…

2023中国便利店TOP100公示

转载来源:中国连锁经营协会

unity 录制360全景渲染图

1.打开pakcageManager ,选择packages为 unityRegisty,找到unityRecorder插件下载,点击右下角instant安装,如果插件列表为空,检查是否连接网络,重启Unity 2.打开录制面板 3.add recorder 选择ImageSequence …

风险防不胜防?看YashanDB如何守护你的数据库安全(上篇)

数据库作为信息系统的核心,不仅承载着海量的关键数据,还负责向各类用户提供高效、可靠的信息服务,数据库的安全性显得尤为关键,已成为信息安全体系的重中之重。 什么是数据库安全? 数据库安全是数据安全的一个子集&a…

制造业小企业内部小程序简单设计

也没什么需求,就是看企业内部外来单位就餐还需要打印客饭单拿去食堂给打饭师傅,出门单还需要打印纸质版,车间PDA扫码出问题需要人手动处理,会议室需要OA申请,但是申请前不知道哪些会议室事空的(因为不是每个人都下载OA…

毫米波雷达模块用于海洋生态环境监测的技术方案研究

海洋生态环境是地球上重要的自然资源之一,对其进行监测和保护具有重要意义。毫米波雷达技术作为一种先进的感知技术,在海洋生态环境监测中具有广阔的应用前景。本文将探讨毫米波雷达模块用于海洋生态环境监测的技术方案,包括其原理、应用场景…

el-select下拉框远程搜索且多选时,编辑需要回显的一个简单案例

前端业务开发中不管使用vue2~3,还是react,angular各种前端技术栈,经常会遇到这种业务。一个下拉框Select中,不仅需要需要支持远程模糊搜索,还需要支持多选。并且在编辑时,还能正常把已经多选好的内容回显到…

redis主从复制,无法从redis读取最新的数据

目录 一、场景二、redis连接配置三、排查四、原因五、解决 一、场景 1、redis为主从复制模式 2、采用读写分离(主节点写入,从节点读取) 3、最新数据成功写入主节点,但从节点没有同步最新的数据 二、redis连接配置 #主节点 spr…

Linux——进程基本概念下篇

Linux——进程基本概念下篇 文章目录 Linux——进程基本概念下篇一、环境变量1.1 环境变量的定义1.2 环境变量的相关命令1.3 命令行参数1.4 本地变量和环境变量1.5 常规命令和内建命令 二、进程地址空间2.1 地址空间的概念2.2 页表和MMU2.3 地址空间的作用2.4 地址空间的好处 一…

Docker容器:docker基础

目录 一.docker前言 云计算服务模式 关于 docker 产品 虚拟化产品有哪些? ① 寄居架构 ② 源生架构 虚拟化技术概述 主流虚拟化产品对比 1. VMware系列 2. KVM/OpenStack 3. Xen 4. 其他半/全虚拟化产品 二. docker 的相关知识 1. docker 的概念 doc…