Rootkit(也称隐匿软件[1])是指主要为隐藏其他程序进程的软件,可能是一种或以上软件的组合;广义而言,Rootkit也可视为一项技术。今天,Rootkit一词更多指伪装成驱动程序加载到操作系统内核中的恶意软件,其代码在特权模式运行,能造成意外危险。Rootkit最初用于善意用途,但黑客后来也用Rootkit入侵和攻击他人的电脑系统,电脑病毒、间谍软件等也常用Rootkit来隐藏踪迹,大多数杀毒软件已将Rootkit归类为有害的恶意软件。Linux、Windows、Mac OS等操作系统都有机会成为Rootkit的受害目标。
此条目翻译品质不佳。 (2024年1月26日) |
现代操作系统的应用程序不能直接访问硬件,而是调用操作系统提供的接口来使用硬件,操作系统依赖内核空间来管理和调度这些程序。内核空间由进程管理(负责分配Cpu时间)、文件访问(把设备调配成文件系统,并提供一致的接口供上层程序调用)、安全控制(负责强制规定各进程的具体权限和单独的内存范围,避免各进程间起冲突)和内存管理(进程运行时负责分配、使用、释放和回收内存资源)四大部分组成。内核是种数据结构,Rootkit技术修改这些数据结构来隐藏其它程序的进程、文件、网络通讯和其它信息(比如注册表和可能因修改而生成的系统日志等)。例如,修改操作系统的EPROCESS链表结构可达到隐藏进程的效果,挂钩服务调用表可以隐藏文件和目录,挂钩中断描述符表则可监听键盘击键等。Rootkit至今仍然是发展中的技术领域。
历史
Rootkit一词最早出现在Unix系统上。系统入侵者为了获取系统管理员级的root权限,或者为了清除有系统纪录的入侵痕迹,会重新汇编ps、netstat、w、passwd等软件工具(术语称为kit),这些软件即称作Rootkit。其后类似的入侵技术或概念也发展到其他操作系统,主要是隐藏文件、行程、系统纪录的技术,以及拦截网络数据包、键盘输入的窃听技术等,许多木马程序都用了这些技术,也可视为一种Rootkit。
2005年的Sony BMG CD防拷丑闻即因揭发Sony暗中用Rootkit技术来防止盗版,有侵害用户隐私之嫌,并可能威胁用户系统,引发轩然大波[2]。Rootkit一词也从此事开始更广为人知。
参考资料
Wikiwand in your browser!
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.