虽然rootkit多年来一直威胁着各种平台,但是,直到最近rootkit的制作者和清除者才展开大规模的战斗。对阵的双方是Holy Father(圣父)的“黑客守卫者”和Sysinternals公司的“rootkit检查器”。微软的Kurt Dillard描述了双方对垒的情况以及这种斗争如何有助于rootkit这种破坏性的恶意软件的发展。
rootkit在各种平台上已经出现很多年了。第一个已知的Windowsrootkit是www.rootkit.com网站的创始人Greg Hoglund在1999年发布的“NTrootkit”。从那以后,出现了很多功能更强大的rootkit。
人们最常见的rootkit是“黑客守卫者”。这个软件是一位自称是“圣父”的东欧人制作的。最新的免费版本的“黑客守卫者”是在2004年年初发布的。最近,这个恶意软件又发布了收费的和定制的版本。
虽然多年以来各个机构的技术支持人员一直在努力清除rootkit,但是,在今年以前这类恶意软件一直没有受到IT商业媒体的关注。
Counterpane互联网安全公司创始人和首席技术官Bruce Schneier今年2月17日在他的网络日志中发表了一篇有关微软研究院的论文的文章。这篇文章介绍了如何使用微软的工具软件“Strider Ghostbuster”检测顽固的rootkit。同一天,我的一位同事、微软安全解决方案事业部的策划经理Mike Danseglio和我在讨论Windows中的rootkit的RSA会议上发表了演讲。我们的会议意外地引起了新闻媒体的极大兴趣。媒体的关注与对Schneier的网络日志关注结合在一起促使很多人突然警惕起来,开始关注rootkit可能给Windows网络带来的潜在的破坏。
这些消息发表不到一个星期,自由软件网站Sysinternals的两位创始人Bryce Cogswell和Mark Russinovich就发表了他们第一个版本的rootkit检测工具“rootkit检查器”。通过对几种对象类型实施高级和低级的扫描,这个工具能够检测出各种顽固的rootkit和行为类似于rootkit的恶意软件。
一个“圣父”的支持者随后公布了一个指南,介绍如何修改“黑客守卫者”的配置文件以避开“rootkit检查器”的检测或者避免被其它检测工具打上危险的标签。 Russinovich和Cogswell迅速做出了反应,发布了升级版本的“rootkit检查器”,打破了这种简单的防御措施。
此后不久,许多厂商都发布了监测和删除工具。例如,微软在今年4月份发布的恶意软件清除工具就增加了rootkit检测和清除功能。“圣父”本人也参加了这场智慧与毅力的战斗。他在网络日志中吹嘘说,他的新版本的“黑客守护者”能够挫败“rootkit检查器”和其它许多反恶意软件工具。他把这些“黑客守护者”软件命名为白银版和黄金版,而且宣布这两种版本的软件价格分别是300欧元和450欧元(约合360美元和540美元)。他声称,黄金版本的“黑客守护者”能够避开几乎所有的恶意软件检测技术。(它不能躲开什么检测工具?中国开发的一种名为“冰刃”(IceSword)的软件是一种最有希望的工具。这个软件目前没有英文版。未来的指南中将进一步介绍“冰刃”。)
“rootkit检查器1.55版”在今年7月12日发布了。这个工具检测试图隐藏起来的rootkit软件的方法是直截了当的:它把注册表扫描的结果和对文件系统实施最高级和最低级扫描的结果进行对比。Windows中的API提供了一个高水平的观察点,掩人耳目的rootkit可以过滤这些观察点。在低级扫描中,“rootkit检查器”直接检查各个存储器和注册表存储器中的原始数据。为了防止“圣父”和其他rootkit作者的反击,最新版本的“rootkit检查器”使用Windows服务创建了一个随机命名的自己的副本。这种方法是非常有效的。但是,Russinovich和Cogswell承认,从理论上说,rootkit软件可以避开“rootkit检查器”的检测。然而,这需要较高级的水平。这种水平到目前为止在rootkit领域还没有看到。
“圣父”许诺说,他的新版本的rootkit将在今年8月份完成。同黄金版的“黑客守护者”一样,新版本的软件也是收费的。我希望得到这个恶意软件。这样,我可以亲自检查这个恶意软件是如何抵抗最新的自动清除工具的。我还将调查在对付“圣父”最佳的rootkit软件时,采用手工的方法是否有效。另一方面,我不支持向这种软件的作者付钱,以支持他制作这种破坏性的软件。
相关推荐
内核级RootKit检测系统 学习好资料
rootkit检测神器icesword 检测win系统中隐藏的进程、文件、注册表项目,及其他一些实用小工具
linux下内核级Rootkit检测防护机制
为了对抗这一新型rootkit的攻击,研究了传统rootkit检测方法在检测硬件虚拟化rootkit(HVMR)上的不足,分析了现有的HVMR检测方法,包括基于指令执行时间差异的检测方法、基于内存资源视图差异的检测方法、基于CPU...
Rootkit检测与反检测技术的研究与实现,
Linux下基于可执行路径分析的内核rootkit检测技术研究
Linux系统下Rootkit检测方法探讨.pdf
作为网络入侵领域的一种新兴技术,Rootkit 能隐藏入侵痕迹、阻止用户和检测软件发现恶意代码的存在,具 有隐蔽性好、难以检测等特点。根据对Rootkit 行为的分析,提出了一种基于句柄分析的Rootkit 检测技术,该方法...
介绍了硬件虚拟化技术和HVM Ro-otkit的工作机制,在此基础上对HVM Rootkit的键盘过滤和网络传输功能进行设计和实现,展示攻击者如何利用HVM Rootkit对用户计算机造成的安全威胁,对HVM Rootkit的检测问题进行分析,...
PC Hunter是一个Windows系统信息查看软件,同时也是一个手工杀毒辅助软件。目前软件支持xp~win10的所有32位操作系统,还支持64位的Win7、Win8、Win8.1和Win10系统
Windows Rootkit分析与检测
RootKit检测工具,比IceSword功能更强劲!
ring 0 下rootkit 检测工具。功能很强。
Win32rootkit检测技术,只是一篇论文,仅供参考,不能用于商业目的。注意引用时标明版权。
rootkit特征检测规则
Rootkit木马隐藏技术分析与检测技术综述
在详细剖析内核级Rootkit 原理的基础上分析了其他检测Rootkit方法的局限性,提出一种新的方法。该方法分析内核模块加载时是否有可疑行为,结合对比system.map和kmem文件判断其是否为Rootkit。最后用实验证明了此方法...
Fu_RootKit Fu_RootKit Fu_RootKit Fu_RootKit Fu_RootKit Fu_RootKit Fu_RootKit Fu_RootKit Fu_RootKit Fu_RootKit Fu_RootKit Fu_RootKit Fu_RootKit Fu_RootKit Fu_RootKit Fu_RootKit
对现有Linux系统下Rootkit检测技术的原理进行分析,并提出了基于Kprobe的Rootkit检测技术。通过在关键路径下插入探测点,在内核底层收集Rootkit所要隐藏的对象信息,最后通过底层收集的信息与系统中审计工具所得的...