视窗

如今,rootkit检测如何工作?

您可能熟悉计算机病毒,广告软件,间谍软件和其他恶意程序,这些病毒在大多数情况下都被视为威胁。但是,在所有形式中,不同形式或类别的恶意软件(rootkit)可能是最危险的。所谓“危险”,是指恶意程序可能造成的破坏程度以及用户查找和删除该程序时遇到的困难。

什么是Rootkit?

Rootkit是一种恶意软件,旨在授予未经授权的用户访问计算机(或计算机上的某些应用程序)的权限。 Rootkit被编程为在保持特权访问的同时保持隐藏状态(不可见)。 Rootkit进入计算机后,它很容易掩盖它的存在,用户不太可能注意到它。

Rootkit如何损害PC?

本质上,通过rootkit,网络罪犯可以控制您的计算机。有了如此强大的恶意程序,它们就可以迫使您的PC做任何事情。他们可以窃取您的密码和其他敏感信息,跟踪计算机上正在执行的所有活动或操作,甚至禁用安全程序。

由于rootkit具有令人印象深刻的劫持或关闭安全应用程序的功能,因此与一般的恶意程序相比,它们很难被检测到或面临,甚至更加困难。 Rootkit可以长期存在或在计算机上运行,​​同时可以逃避检测并造成重大破坏。

有时,当使用高级rootkit时,如果要摆脱恶意程序,用户别无选择,只能删除计算机上的所有内容并重新开始。

每个恶意软件都是rootkit吗?

否。如果有的话,只有一小部分恶意软件是Rootkit。与其他恶意程序相比,rootkit在设计和编程方面都非常先进。 Rootkit的功能远远超过普通的恶意软件。

如果要按照严格的技术定义进行操作,则Rootkit并非完全是恶意程序的形式或类型。 Rootkit仅与用于在目标(通常是特定计算机或个人或组织)上部署恶意软件的过程相对应。可以理解,由于Rootkit在有关网络攻击或黑客的新闻中经常弹出,因此该术语带有负面含义。

公平地说,rootkit的运行与恶意软件非常相似。他们希望不受限制地操作计算机。他们不希望保护性实用程序识别或找到它们;他们通常试图从目标计算机上窃取东西。最终,rootkit是威胁。因此,必须阻止它们(首先阻止它们进入)或解决(如果它们已经找到了进入的方式)。

为什么要使用或选择rootkit?

攻击者出于多种目的使用rootkit,但是大多数时候,他们尝试使用rootkit来改善或扩展恶意软件的隐身功能。随着隐身性的提高,部署在计算机上的恶意有效载荷可能会在较长时间内无法被检测到,而不良程序会从网络中窃取数据或从中删除数据。

Rootkit非常有用,因为它们提供了一种便捷的方式或平台,未经授权的参与者(黑客甚至政府官员)可以通过该方式或平台获得对系统的后门访问。 Rootkit通常通过颠覆登录机制来强制计算机为另一个人提供秘密登录访问权限,从而达到此处所述的目的。

还可以部署Rootkit来破坏或淹没计算机,以使攻击者获得控制权并将该设备用作执行某些任务的工具。例如,黑客使用Rootkit锁定设备,并将其用作bot进行DDoS(分布式拒绝服务)攻击。在这种情况下,如果曾经检测到并跟踪了DDoS的来源,它将导致受感染的计算机(受害者)而不是真正负责的计算机(攻击者)。

参与此类攻击的受感染计算机通常称为僵尸计算机。 DDoS攻击几乎不是攻击者对受感染计算机所做的唯一坏事。有时,黑客会使用受害者的计算机来进行点击欺诈或散布垃圾邮件。

有趣的是,在某些情况下,管理员或常规人员出于良好的目的部署了rootkit,但是这种情况的例子仍然很少。我们已经看到有关一些IT团队在蜜罐中运行rootkit来检测或识别攻击的报告。好吧,这样,如果他们成功完成了任务,他们就可以增强其仿真技术和安全应用程序。他们可能还会获得一些知识,然后将其用于改进防盗保护设备。

但是,如果您不得不使用rootkit,则很有可能会使用rootkit来损害您(或您的利益)。因此,重要的是,您必须学习如何检测该类中的恶意程序以及如何保护自己(或计算机)免受恶意程序的侵害。

Rootkit的类型

rootkit有不同的形式或类型。我们可以根据它们的感染方式和它们在计算机上的运行级别对它们进行分类。好,这些是最常见的rootkit类型:

  1. 内核模式rootkit:

内核模式rootkit是旨在将恶意软件插入操作系统内核以更改OS功能或设置的rootkit。所谓“内核”,是指控制或链接硬件和应用程序之间的操作的操作系统的中心部分。

攻击者发现很难部署内核模式rootkit,因为如果所使用的代码失败,此类rootkit往往会导致系统崩溃。但是,如果他们确实设法成功完成了部署,那么rootkit将会造成难以置信的损害,因为内核通常在系统中拥有最高的特权级别。换句话说,有了成功的内核模式rootkit,攻击者可以轻松地利用受害者的计算机。

  1. 用户模式rootkit:

此类中的rootkit是通过充当普通程序或常规程序来执行的。它们倾向于在与应用程序运行相同的环境中运行。因此,一些安全专家将它们称为应用程序rootkit。

用户模式rootkit相对于内核模式rootkit而言更易于部署,但功能却更少。它们造成的损害少于内核rootkit。从理论上讲,安全应用程序还发现处理用户模式的Rootkit(与其他形式或类的Rootkit相比)更加容易。

  1. Bootkit(引导rootkit):

引导程序包是通过感染主引导记录来扩展或改进常规rootkit的功能的rootkit。在系统启动期间被激活的小程序构成了主启动记录(有时缩写为MBR)。引导程序基本上是一种攻击系统的程序,可以用被黑的版本替换普通的引导程序。这样的rootkit甚至在计算机操作系统启动并稳定下来之前就被激活。

给定bootkit的感染模式,攻击者可以将其配置为更持久的攻击形式,因为它们被配置为在系统启动时运行(即使在防御性重置后也可以运行)。此外,它们倾向于在系统内存中保持活动状态,该位置很少被安全应用程序或IT团队扫描以查找威胁。

  1. 内存rootkit:

内存rootkit是一种rootkit,旨在隐藏在计算机的RAM中(Random Access Memory的缩写,与临时内存相同)。然后,这些rootkit(一次在内存中)将在后台执行有害的操作(无需用户知道它们)。

幸运的是,内存rootkit的寿命往往很短。他们只能住在您计算机的RAM中进行会话。如果重新启动PC,则它们将消失–至少从理论上讲,它们应该消失。但是,在某些情况下,重新启动过程还不够。用户可能最终不得不做一些工作来摆脱内存rootkit。

  1. 硬件或固件rootkit:

硬件或固件rootkit的名称来自它们在计算机上的安装位置。

众所周知,这些rootkit可以利用系统固件中嵌入的软件。固件是指特殊的程序类,它为特定的硬件(或设备)提供低级别的控制或指令。例如,您的笔记本电脑具有由其制造商加载到其中的固件(通常是BIOS)。您的路由器也有固件。

由于固件rootkit可以存在于路由器和驱动器等设备上,因此它们可以隐藏很长时间-因为很少检查或检查这些硬件设备的代码完整性(甚至根本没有检查过)。如果黑客使用rootkit感染您的路由器或驱动器,那么他们将能够拦截流经设备的数据。

如何保护Rootkit的安全(给用户的提示)

即使是最好的安全程序也仍然在与rootkit对抗,因此最好还是做一切必要的事情以防止rootkit首先进入您的计算机。保持安全并不难。

如果您遵循最佳安全做法,那么计算机被rootkit感染的机会将大大减少。这里是其中的一些:

  1. 下载并安装所有更新:

您根本无法忽略任何更新。是的,我们知道对应用程序的更新可能会令人讨厌,对操作系统版本的更新可能会令人不安,但是如果没有它们,您将无法做。不断更新程序和操作系统可确保您获得补丁程序,以修补攻击者用来将rootkit注入计算机的安全漏洞或漏洞。如果漏洞和漏洞被消除,则您的PC会更好。

  1. 当心网络钓鱼电子邮件:

网络钓鱼电子邮件通常是由骗子发送的,这些骗子试图诱骗您向其提供您的个人信息或敏感信息(例如登录信息或密码)。但是,某些网络钓鱼电子邮件会鼓励用户下载并安装某些软件(通常是恶意软件或有害软件)。

此类电子邮件可能看起来像来自合法发件人或受信任的个人,因此您必须当心。不要回应他们。不要单击其中的任何内容(链接,附件等)。

  1. 当心偷渡式下载和意外安装:

在这里,我们希望您注意在计算机上下载的内容。您不想获取恶意文件或安装恶意程序的错误应用程序。您还必须注意所安装的应用程序,因为某些合法的应用程序与其他程序捆绑在一起(可能是恶意的)。

理想情况下,您应该只从官方页面或下载中心获取程序的正式版本,在安装过程中做出正确选择,并注意所有应用程序的安装过程。

  1. 安装保护实用程序:

如果要让rootkit进入您的计算机内部,则它的条目可能与您计算机上是否存在其他恶意程序有关。一个好的防病毒或反恶意软件应用程序有可能在引入或激活Rootkit之前检测到原始威胁。

您可以获取Auslogics反恶意软件。您最好对推荐的应用程序有所信任,因为好的安全程序仍然可以构成抵御所有形式威胁的最佳防御。

如何检测Rootkit(以及组织和IT管理员的一些技巧)

很少有能够检测和删除Rootkit的实用程序。即使是称职的安全应用程序(已知可处理此类恶意程序)有时也难以解决或无法正常工作。当恶意软件存在并在内核级别运行(内核模式rootkit)时,rootkit删除失败更为常见。

有时,在机器上重新安装OS是摆脱Rootkit唯一可以做的事情。如果要处理固件rootkit,则可能最终不得不替换受影响设备中的某些硬件部件或获取专用设备。

最好的rootkit检测过程之一要求用户对rootkit执行顶层扫描。所谓“顶级扫描”,是指在受感染机器关闭电源时由单独的清洁系统运行的扫描。从理论上讲,这样的扫描应该足以检查攻击者留下的签名,并且应该能够识别或识别网络上的某些恶意行为。

您还可以使用内存转储分析来检测rootkit,尤其是当您怀疑其中包含引导程序包时(该闩锁锁存到系统内存中以进行操作)。如果常规计算机网络中存在rootkit,则它在执行涉及内存使用的命令时可能不会被隐藏-并且Managed Service Provider(MSP)将能够查看恶意程序正在发出的指令。 。

行为分析是另一种可靠的过程或方法,有时用于检测或跟踪rootkit。在这里,您必须在计算机上查找rootkit症状,而不是直接通过检查系统内存或观察攻击签名来检查rootkit。诸如慢的运行速度(比正常情况慢得多),奇数的网络流量(不应存在)以及其他常见的异常行为等事情都应该让rootkit放弃。

经理服务提供商实际上可以在其客户系统中部署最低特权原则(PoLP)作为一种特殊策略,以应对或减轻Rootkit感染的影响。使用PoLP时,系统配置为限制网络上的每个模块,这意味着单个模块只能访问其工作(特定目的)所需的信息和资源。

好吧,建议的设置可确保网络各臂之间更严格的安全性。它还足以阻止未经授权的用户将恶意软件安装到网络内核,这意味着它可以防止rootkit闯入并引起麻烦。

幸运的是,与开发人员不断提高操作系统的安全性相比,rootkit的数量平均有所下降(与过去几年激增的其他恶意程序的数量相比)。端点防御越来越强大,并且正在设计大量CPU(或处理器)以使用内置的内核保护模式。但是,目前,rootkit仍然存在,无论在哪里找到它们,都必须对其进行标识,终止和删除。

$config[zx-auto] not found$config[zx-overlay] not found