Rootkit已经不是什么新玩意儿了,其祖宗可追寻到UNIX系统。然而,这几年的发展已经使它“日新月异”,我们总是对这种暗藏于系统内部的恶意软件惶恐不已。不过心中想得最多的是要增强对它的防范和斗争。
魔高一尺 道也高一尺。Rootkit的制造者不断地研究新的方法,以保持其恶意程序的隐藏性;而安全软件设计公司不断地开发、发布其反恶意程序的措施来保护其客户端。总之,两者无休止地进行着这场无硝烟的战争。
检测技术
总体说来,纵观现在的安全领域,我们可以看出有四种技术可以检测系统中存在的Rootkit:
1.基于特征的检测:这是一种成熟的技术,它已经由反病毒公司成功地运用了好多年了。这种技术以成功扫描文件为基础,并将文件与已知恶意软件的特征相比较从而查找并清除Rootkit。
2.基于行为的检测:这种技术通过识别计算机正常活动中的任意背离正常操作的活动而确认Rootkit。
3.比较检测:这种方法将由操作系统返回的结果与通过低级调用所获得的结果相比较,如果有任何的不同,就会展示出系统中存在的Rootkit。
4.集成式检测:这种技术采用一种可靠的测试方法来比较文件和内存中的内容,从而揭示Rootkit的存在。
这些技术都有其局限性,为此笔者强烈建议集成不同的技术。还要注意到,有一些阴险的Rootkit进行了特别的设计,目的是避开反病毒公司推向市场的产品检测技术。
防御方法
防御Rootkit的第一道防线就是要阻止其进入你的计算机中。为此,请谨记以下几条抵御恶意软件的基本建议:
安装优良的反恶意软件解决方案,并保持其活动性和最新,及时升级,最好是每天升级。在此笔者对那些使用盗版软件的同志要说一句,千万不要上网随便下载一个杀毒软件就以为万事大吉了,即使能升级也最好不用。由此造成的后果可能要比你省下的金钱要多得多。最好多支持国产的安全软件!
最好安装一个防火墙,它可以帮助你限制那些对计算机的未授权的访问。同样,最好不要用盗版的。
确保安装到计算机上的应用程序能及时安装来自厂商的最新安全补丁。
不过,万万不可对防范Rootkit的任务看得太简单了,也不能局限于几项普通的保护措施。比如,上网时用普通用户登录而不是用管理员(超级用户)也是个好主意。
