Rootkit：隐秘的黑客攻击

什么是Rootkit病毒
Rootkit是一种很深的隐藏在操作系统中执行恶意或令人讨厌的程序，比如弹出程序、广告软件或者间谍程序等。

大多数安全解决方案不能检测到它们并加以清除。

因为Rootkit在操作系统中隐藏得很深并且是以碎片的形式存在。

如果在清除过程中漏掉了任何一个相互关联的碎片，rootkit
能够自我激活。

一般的病毒扫描通常是清除病毒程序的执行阶段，但是在重新启动操作系统后rootkit
能够再次执行，所以问题并没有彻底解决。

要解决问题必须从rootkit本身，也就是从恶意程序的源头去根除。

内核模式的rootkit通常攻击操作文件系统，如果要检测已知及未知的内核模式rootkit，就必须直接访问原始卷并执行干净的启动进行补救。

赛门铁克诺顿2007产品采用Veritas 的VxMS （Veritas 映射服务）技术组件可以直接访问NTFS 格式的原始卷，并可以绕开Windows 文件系统API（应用程序接口）。

这种技术使诺顿的反间谍软件能够对运行在驱动程序层面上的rootkit 进行检测并实施补救措施。

对于未知的rootkit，赛门铁克采用最新的启发式检测（Heuristic Detection)进行有效防御。

来源：汤普森计算机安全实验室(Thompson Cyber Security Labs)。

"系统侵蚀者"（Win32.Troj.AntiAV.e.172098）这是⼀个极具破坏性的病毒。

当病毒⼀运⾏后，桌⾯⽴即会消失，⽽且⽆法对系统做任何的操作，能看见的只是⼀个蓝⾊的桌⾯⽽已。

"Rootkit25920"（Win32.TrojDownloader.HmirT.a.25920）这是⼀个Rootkit病毒。

该病毒会监视userinit.exe和explorer.exe进程，创建、修改注册表启动项、服务项键，躲避安全监视⼯具，创建⽂件。

⼀、"系统侵蚀者"（Win32.Troj.AntiAV.e.172098）威胁级别：★★ 该病毒破坏能⼒⽴杆见影，除了⽴即使桌⾯消失以外，当⽤户重启机器后，会发现同样只显⽰蓝⾊的桌⾯，此时寻找⽀控桌⾯的explorer.exe系统⽂件时，会发现该系统⽂件已经被病毒删除。

当我们使⽤ctrl+alt+del热键显⽰出任务管理器时，通过浏览⽅式查看到"我的电脑"图标已经被删除，变成默认的图标。

该病毒会给⽤户的⼼理和系统已经造成严重的影响。

⼆、"Rootkit25920"（Win32.TrojDownloader.HmirT.a.25920）威胁级别：★ 该病毒是⼀个rootkit深层病毒。

该病毒会通过调⽤⼀些函数，通过函数避免安全软件的监视和截获。

并且还会在注册中建⽴新的病毒键值，其服务名为saiujrh38l.其对应的病毒⽂件路径为：%System32%\DRIVERS\saiujrh38l.sys.该病毒会监视userinit.exe和explorer.exe系统进程，当监测到有userinit.exe启动时，则会恶意修改注册表的runonce项，通过⽤户在下次启动系统时触发病毒，其病毒对应的路径为：%systemroot%\system32\55Id.dll.当病毒监测到有explorer.exe系统进程时，则创建⼀个新进程，其进程名为saiujrh38l.sys，对应路径是：%SystemRoot%\system32\drivers. ⾦⼭反病毒⼯程师建议 1.安装专业的杀毒软件进⾏全⾯监控。

网络安全笔试题及答案1. 什么是拒绝服务（DoS）攻击？如何防御这种类型的攻击？拒绝服务（DoS）攻击是一种网络攻击手段，旨在剥夺合法用户对网络资源的访问。

攻击者通过向目标系统发送大量无用的请求或恶意请求，消耗目标系统的资源（如带宽、计算能力、存储空间等），导致系统无法正常提供服务。

防御拒绝服务攻击的常见方法包括：- 使用防火墙和入侵检测系统，及时检测和阻止恶意流量。

- 配置网站负载均衡器，将请求分发到多个服务器，分担压力。

- 调整系统默认配置，限制单个IP地址的连接数和请求速率。

- 使用反向代理服务器，过滤恶意请求。

- 使用流量限制和访问控制列表（ACL）限制来自恶意IP地址的访问。

- 使用内容分发网络（CDN）来分发海量请求，减轻目标服务器的负担。

- 密切监控网络流量，及时发现异常流量，并做出相应的反应。

2. 什么是SQL注入攻击？如何防御SQL注入攻击？SQL注入攻击是一种利用应用程序对输入数据的处理不当，将恶意的SQL代码插入到应用程序的请求中，进而对数据库执行非法操作的攻击方式。

防御SQL注入攻击的常见方法包括：- 对输入进行严格的数据验证和过滤，过滤掉非法的字符或字符串。

- 使用参数化的SQL查询和预编译语句，确保输入数据被视为数据而不是可执行的代码。

- 最小化应用程序的数据库权限，确保应用程序只能执行必要的数据库操作。

- 使用安全的开发框架和库，这些框架和库提供了对SQL注入攻击的保护机制。

- 及时更新和修补应用程序和数据库的安全漏洞。

- 日志记录和监测数据库的访问，及时发现异常行为并采取相应的措施。

3. 什么是跨站请求伪造（CSRF）攻击？如何防御这种类型的攻击？跨站请求伪造（CSRF）攻击是一种攻击方式，利用用户已经在某个网站登录的身份验证信息，欺骗用户在未经其允许的情况下执行某些操作。

防御跨站请求伪造攻击的常见方法包括：- 校验请求来源和验证HTTP Referer字段，只接受合法的请求。

黑客基本术语名词解释本文介绍一些常见的基础黑客专用术语。

1.肉鸡:所谓“肉鸡”是一种很形象的比喻，比喻那些可以随意被我们控制的电脑(计算机(电脑))，对方可以是WINDOWS系统，也可以是UNIX/LINUX系统，可以是普通的个人电脑(计算机(电脑))，也可以是大型的服务器(server网络资源)，我们可以象操作自己的电脑(计算机(电脑))那样来操作它们，而不被对方所发觉。

2.木马:就是那些表面上伪装成了正常的程序，但是当这些被程序运行时，就会获取系统的整个控制权限。

有很多黑客就是热中与使用木马程序来控制别人的电脑(计算机(电脑))，比如灰鸽子，黑洞，PcShare等等。

3.网页木马:表面上伪装成普通的网页文件或是将而已的代码直接插入到正常的网页文件中，当有人访问时，网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑(计算机(电脑))上来自动执行。

4.挂马:就是在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里，以使浏览者中马。

5.后门:这是一种形象的比喻，入侵者在利用某些方法成功的控制了目标主机后，可以在对方的系统中植入特定的程序，或者是修改某些设置。

这些改动表面上是很难被察觉的，但是入侵者却可以使用相应的程序或者方法来轻易的与这台电脑(计算机(电脑))建立连接，重新控制这台电脑(计算机(电脑))，就好象是入侵者偷偷的配了一把主人房间的要是，可以随时进出而不被主人发现一样。

通常大多数的特洛伊木马(Trojan Horse)程序都可以被入侵者用语制、作后门(BackDoor)6.rootkit:rootkit是攻击者用来隐藏自己的行踪和保留root(根权限，可以理解成WINDOWS下的system或者管理员权限)访问权限的工具。

通常，攻击者通过远程攻击的方式获得root访问权限，或者是先使用密码猜解(破解)的方式获得对系统的普通访问权限，进入系统后，再通过，对方系统内存在的安全漏洞获得系统的root权限。

教你彻底清除掉rootkit假设你是一个黑客。

你刚好发现一个系统不是你的“leetskillz”工具软件的对手，并且获得了根访问权限。

系统管理员早晚会发现他的系统被别人“拥有”了。

在系统使用补丁修复之后，你被踢了出来。

这就是你要安装rootkit的理由。

rootkit是黑客安装在系统中的软件，以帮助恢复黑客在系统中的权限。

大多数rootkit还包含其它的高级工具，如帮助黑客建立后门以便不断地访问被攻破的计算机系统。

例如，rootkit可以拦截登录请求并且通过一个特殊用户ID和口令允许黑客秘密访问。

按键记录器、包嗅探器和其它利用安全漏洞的代码在rootkit 中是很常见的。

隐蔽攻击rootkit通过隐藏或者删除登录记录、注册表记录和与黑客活动有关的过程的踪迹来帮助黑客隐藏起来。

有些rootkit利用修改过的旨在忽略黑客行动指令来取代系统管理指令中的二进制命令。

例如，在Unix或Linux系统中，rootkit用一个不能够显示位于某些目录中的文件列表的指令替代“ls”命令。

或者，黑客使用一个忽略黑客活动进程的指令替代“ps”命令。

“ps”命令是用来显示系统中正在运行的进程的。

负责记录活动的程序也将被进行同样的修改以帮助攻击者隐藏起来，不受怀疑。

因此，当系统管理员查看系统时，一切看起来都很正常，尽管这个系统已经被黑客颠覆了。

rootkit的风格通过修改二进制命令完成任务的rootkit称作用户模式rootkit。

通过检查关键系统文件的大小、日期和校验和的变化就可以查出这些rootkit。

然而，高级的黑客使用内核模式rootkit进行工作就更隐蔽。

通过利用Linux在运行过程中可以装载内核扩展的功能，内核模式rootkit 就可以欺骗操作系统的内核。

这些rootkit悄悄地隐藏在计算机的心脏并且拦截合法应用程序对操作系统的呼叫，仅返还攻击者让你看的日期。

由于这种rootkit控制了整个系统环境，查出这种rootkit是很困难的。

Rootkit 是什么
Rootkit 是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit 一般都和木马、后门等其他恶意程序结合使用。

在悬念迭起的中外谍战片里，对战双方中的一派势力通常会派遣特工人员潜伏到对手阵营中。

这名卧底人员良好的伪装使得对手对此长时间毫无察觉；为了能够长期潜伏他不贸然采取高风险行为以免过早暴露自己；他赢得敌人的信任并因此身居要职，这使得他能够源源不断地获取重要情报并利用其独特渠道传送回去。

从某种意义上说这位不速之客就是Rootkit——持久并毫无察觉地驻留在目标计算机中，对系统进行操纵、并通过隐秘渠道收集数据的程序。

Rootkit 的三要素就是：隐藏、操纵、收集数据。

“Rootkit”中root 术语来自于unix 领域。

由于unix 主机系统管理员账号为root 账号，该账号拥有最小的安全限制，完全控制主机并拥有了管理员权限被称为“root”了这台电脑。

然而能够“root”一台主机并不意味着能持续地控制它，因为管理员完全可能发现了主机遭受入侵并采取清理措施。

因此Rootkit 的初始含义就在于“能维持root 权限的一套工具”。

Rootkit病毒的解决办法在诸多病毒类型⾥⾯最让⼈深恶痛绝的就是Rootkit（内核型）蠕⾍病毒，许多时候杀毒软件能检测到该病毒，但却⽆法有效清除。

此类病毒的特点是病毒⽂件为两个或多个，⼀个是扩展名为EXE的可执⾏类型⽂件，⼀个是扩展名为SYS的驱动类型⽂件。

EXE可执⾏⽂件为传统的蠕⾍病毒模块，负责病毒的⽣成、感染、传播、破坏等任务；SYS⽂件为Rootkit模块。

Rootkit也是⼀种⽊马，但它较我们常见的“冰河”、“灰鸽⼦”等⽊马更加隐蔽，它以驱动程序的⽅式挂⼊系统内核，然后它负责执⾏建⽴秘密后门、替换系统正常⽂件、进程隐藏、监控⽹络、记录按键序列等功能，部分Rootkit还能关闭杀毒软件。

⽬前发现的此类模块多为病毒提供隐藏的机制，可见这两类⽂件是相互依赖的。

既然病毒已经被隐藏了，我们从何处⼊⼿发现病毒呢？这⾥就以感染orans.sys蠕⾍病毒的计算机为例，探讨如何检测和查杀该类病毒。

检测病毒体⽂件Norton防病毒软件报告c:windowssystem32orans.sys⽂件为Rootkit型病毒，这⾥可以看到使⽤Rootkit代码的SYS⽂件是⽆法逃过杀毒软件检测的。

那么是否删除了该⽂件就能清除病毒呢，答案是不⾏的。

⾸先在染毒的系统下该⽂件是受保护的，⽆法被删除。

即使⽤户在安全模式下删除了⽂件，重新启动后，另外⼀个未被删除的病毒⽂件将随系统启动，并监控系统。

⼀旦其发现系统的注册表被修改或病毒的SYS⽂件遭删除，病毒就会重新⽣成该⽂件并改回注册表，所以很多时候我们会发现病毒⼜重⽣了。

因此需要同时找到这两个⽂件，⼀并处理。

但在受感染的系统中，真正的病毒体已经被Rootkit模块隐藏了，不能被杀毒软件检测到。

这时就需要从系统中的进程找到病毒的蛛丝马迹。

系统⾃带的任务管理器缺少完成这⼀任务的⼀些⾼级功能，不建议使⽤。

这⾥向⼤家推荐IceSword或Process Explorer软件，这两款软件都能观察到系统中的各类进程及进程间的相互关系，还能显⽰进程映像⽂件的路径、命令⾏、系统服务名称等相关信息。

解析rootkits病毒以及解决办法什么是Rootkits?Rootkits最早是一组用于UNIX操作系统的工具集，黑客使用它们隐藏入侵活动的痕迹，它能在操作系统中隐藏恶意程序。

这些程序在植入系统后，rootkits 会将它们隐藏起来，它能隐藏任何恶意程序过程、文件夹、注册码。

Rootkits病毒主要分为两大类：一种是进程注入式Rootkits，另一种是驱动级Rootkits。

第一种Rootkits技术通常通过释放动态链接库(DLL)文件，并将它们注入到可执行文件及系统服务进程中运行，阻止操作系统及应用程序对被感染的文件进行访问。

这种Rootkits病毒较好处理，通过使用杀毒软件可以轻松清除，而且不会造成任何严重的后果。

第二种Rootkits技术比较复杂，在系统启动时Rootkits病毒以加载驱动程序的方式，先于杀毒软件被装入系统，得到合法的操作系统控制权。

当杀毒软件通过系统API及NTAPI访问文件系统时进行监视，一但发现被Rootkits感染的文件时返回一个虚假的结果，从而阻止操作系统及应用程序对被感染的文件进行访问。

该Rootkits病毒，由于其以驱动程序装入系统被认为是驱动的一部分，现阶段还没有一个较好的解决办法。

少数杀毒软件在处理使用此类Rootkits病毒时甚至会出现漏查漏杀的现象，大多数杀毒软件会发现此类病毒，但往往清除失败，某些笔者在实际工作中遇到过几次问题，现加以总结把解决方法与大家分享：第一个例子出现的现象是操作系统能够正常运行，但杀毒软件无法启动，在没有任何可疑前后台进程的状况下，CPU占用率很高，毫无疑问系统被病毒感染，由于系统本身无法清除病毒，只好把该机器硬盘摘下，挂入另一没有被病毒感染的操作系统以从盘方式进行杀毒，由于病毒盘上所有文件在干净操作系统中只作为普通文件处理，病毒很快就被清除。

问题解决。

第二个例子情况更加严重一些，系统在进入桌面后即出现蓝屏，询问操作人员后得知，前一天杀毒软件报告病毒，杀毒重启后系统即出现桌面蓝屏，排除因为硬件及程序问题后，判断是rootkits病毒破坏操作系统中某启动文件引起，挂从盘杀毒后果然发现病毒，但作为操作系统主盘引导，依然出现进入桌面即蓝屏的现象，根据经验，考虑到rootkits病毒可能首先破坏杀毒软件，而且原杀毒软件已经无法启动，于是依旧挂从盘利用其他操作系统强行删除原系统的杀毒软件文件，再重新装入原系统，问题解决，重新装载杀毒软件，查杀后无病毒。

简单小方法让你远离来自Rootkit的威胁WEB平安电脑资料Rootkit已经不是什么新玩意儿了，其祖宗可追寻到UNIX系统，魔高一尺道也高一尺。

Rootkit的制造者不断地研究新的方法，以保持其恶意程序的隐藏性；而平安软件设计公司不断地开发、其反恶意程序的措施来保护其客户端。

总之，两者无休止地进行着这场无硝烟的战争。

检测技术总体说来，纵观现在的平安领域，我们可以看出有四种技术可以检测系统中存在的Rootkit：1.基于特征的检测：这是一种成熟的技术，它已经由反病毒公司成功地运用了好多年了。

这种技术以成功扫描文件为根底，并将文件与恶意软件的特征相比拟从而查找并去除Rootkit。

2.基于行为的检测：这种技术通过识别计算机正常活动中的任意背离正常操作的活动而确认Rootkit。

3.比拟检测：这种方法将由操作系统返回的结果与通过低级调用所获得的结果相比拟，如果有任何的不同，就会展示出系统中存在的Rootkit，4.集成式检测：这种技术采用一种可靠的测试方法来比拟文件和内存中的内容，从而揭示Rootkit的存在。

这些技术都有其局限性，为此笔者强烈建议集成不同的技术。

还要注意到，有一些阴险的Rootkit进行了特别的设计，目的是避开反病毒公司推向市场的产品检测技术。

防御方法防御Rootkit的第一道防线就是要阻止其进入你的计算机中。

为此，请谨记以下几条抵御恶意软件的根本建议：安装优良的反恶意软件解决方案，并保持其活动性和最新，及时升级，最好是每天升级。

在此笔者对那些使用盗版软件的同志要说一句，千万不要上网随便下载一个杀毒软件就以为万事大吉了，即使能升级也最好不用。

由此造成的后果可能要比你省下的金钱要多得多。

最好多支持国产的平安软件！最好安装一个防火墙，它可以帮助你限制那些对计算机的未授权的访问。

同样，最好不要用盗版的。

确保安装到计算机上的应用程序能及时安装厂商的最新平安补丁。

不过，万万不可对防范Rootkit的任务看得太简单了，也不能局限于几项普通的保护措施。

木马的7种分类木马是一种恶意软件，它可以悄无声息地进入计算机系统，并在后台执行一系列操作，如窃取敏感信息、篡改数据、控制计算机等。

根据木马的特征和功能，可以将其分为以下七种分类。

1. 后门木马（Backdoor Trojan）：后门木马是最为常见的一种木马程序，它通过在受害者计算机上创建一个或多个网络连接端口，使黑客能够远程控制计算机、访问文件系统、修改文件、捕获键盘输入等。

后门木马通常具有隐藏自身的特性，以免被用户发现。

2. 间谍木马（Spy Trojan）：间谍木马用于窃取用户敏感信息，如账号密码、信用卡号、银行信息等，并将这些信息发送给黑客。

间谍木马一般通过键盘记录、截屏等手段获取用户的敏感信息。

3. Downloader木马：Downloader木马是一种用来下载和安装其他恶意软件的木马程序。

黑客可以通过Downloader木马远程控制被感染计算机，并下载和安装其他木马、病毒以及恶意软件。

4. 拒绝服务木马（DDoS Trojan）：拒绝服务木马是一种旨在通过占用目标系统的网络资源，耗尽其网络带宽、计算资源或者内存等，从而使目标系统无法正常工作的木马程序。

黑客可以通过控制一部分感染计算机，进行集中的攻击，导致目标系统的拒绝服务。

5. 根包木马（Rootkit Trojan）：根包木马是一种特殊类型的木马，它将自身隐藏在操作系统内核或系统文件中，以获取最高权限，并对操作系统进行修改，以逃避安全软件的检测和清除。

根包木马通常会屏蔽安全软件的运行，以便长期感染目标系统。

6. 恶意广告木马（Adware Trojan）：恶意广告木马是通过某些可疑应用程序或网站的广告进行传播的木马程序。

它会弹出各种恶意广告，并且可能会导致浏览器被劫持，改变用户的首页和搜索引擎设置。

7. 木马蠕虫（Trojan Worm）：木马蠕虫是一种利用计算机网络来传播和感染其他计算机的木马程序。

它会自我复制并传播到其他计算机，通过修改和删除文件、关闭防火墙等方式来破坏受感染系统的安全。

浅析基于Rootkit技术的手机安全庄棪（国家计算机网络应急技术处理协调中心四川分中心，成都610072）摘要: 智能手机的广泛普及给用户带来了很多方便，种类繁多的应用程序让我们的工作和生活带来很多便利，但是手机信息安全问题也日益突出，手机Rootkit比一般手机病毒更复杂更隐蔽，修改手机系统代码和内核，带来严重威胁。

本文分析了手机Rootkit技术、隐蔽原理、攻击流程和防范检测技术。

关键词：智能手机手机木马 Rootkit在当今手机的广泛普及在各个方面都给人们生活、工作带来了极大的便利。

特别是智能手机的出现，更是掀起移动互联网的快速发展的浪潮，信息技术和媒体顾问公司Analysys Mason发布的最新报告显示，预计到2014年全球智能手机销量将达到17亿部。

报告显示，预计全球智能手机销量年均增长率为32%。

2014年，智能手机将占整体手机销量的26%。

由于智能手机可以像计算机一样安装各种来源的第三方应用程序，于是手机的信息安全问题，也是非常严重的。

根据360安全中心发布《2011年上半年中国手机安全报告》（以下简称“报告”）中指出，今年1月至6月，国内新增手机木马和恶意软件2559个，感染手机用户数高达1324万，Android（安卓）平台与Symbian平台并列成为手机木马“重灾区”，手机木马的危害主要集中在恶意扣费和窃取用户隐私。

《报告》称，相较2010年，中国手机安全领域无论从手机木马种类、数量，还是感染手段的多样性与感染用户数上，都呈现出几十倍的大幅增长。

但超过60%的手机木马仍活跃在老牌智能操作系统Symbian平台上，新增恶意软件及木马1591个，感染手机用户数更高达1206万人次。

《报告》分析称，国内手机木马的恶意行为，正在由过去的系统破坏转向恶意扣费和窃取用户隐私。

比如知名的“X卧底”木马，其本质就是一款黑客间谍软件，不仅会回传受害者手机短信，甚至还能任意监听其通话。

《报告》还列举了今年上半年五大“最恶”木马，分别为“系统终结者”、“超级大盗”、“勾魂美女”、“X卧底”及水货固件木马“白卡吸费魔”。

木马的7种分类木马是一种计算机病毒，其主要特点是能自行复制并传播，同时具有隐藏性和破坏性。

它们可以利用计算机的功能进行各种破坏行为，例如删除文件、窃取信息、监视用户活动等。

根据其特点和功能，我们可以将木马分为以下七种分类。

1. 后门木马后门木马是一种隐藏在系统中的程序，它可以在用户不知情的情况下操控计算机，例如监视用户活动、窃取文件、发送垃圾邮件等。

后门木马通常通过互联网远程操控，入侵者可以利用后门木马来窃取敏感信息或者控制计算机进行其他非法活动。

2. 间谍木马间谍木马是一种用于监视用户活动并窃取个人信息的木马程序。

它可以记录用户的击键、截取屏幕截图、监视网络活动等，然后将这些信息发送给入侵者。

间谍木马常常用于窃取密码、银行账号、信用卡信息等敏感数据，对用户隐私造成严重危害。

3. Downloader木马Downloader木马是一种特殊的木马程序，其主要功能是下载并安装其他恶意软件。

它通常会悄然安装在用户计算机中，并在背景运行，然后从远程服务器下载其他恶意软件，例如蠕虫、病毒等。

Downloader木马是网络攻击者利用的主要手段之一，通过它们可以轻易地在受害者计算机中植入大量恶意软件。

4. Rootkit木马Rootkit木马是一种具有特殊隐藏功能的木马程序，其主要目的是在系统中隐藏自身并维持持久性。

Rootkit木马通常会替换系统的核心文件或者进程，并且修改系统的配置以隐藏自己的存在。

由于其高度隐蔽性，Rootkit木马通常很难被发现和清除，因此对计算机造成极大的危害。

5. 拒绝服务木马拒绝服务木马是一种专门用于攻击网络服务器或者计算机网络的木马程序。

其主要功能是通过向目标计算机发送大量的请求，例如网络包、数据包等，使目标服务器超载或者崩溃。

拒绝服务木马通常用于进行网络攻击、网络勒索等非法活动，对网络安全造成严重威胁。

6. 逆向连接木马逆向连接木马是一种具有远程控制功能的木马程序，其主要特点是能够主动连接到远程控制服务器并接受远程指令。

rootkit后门检查⼯具RKHunter---恢复内容开始---rkhunter简介：中⽂名叫”Rootkit猎⼿”,rkhunter是Linux系统平台下的⼀款开源⼊侵检测⼯具，具有⾮常全⾯的扫描范围，除了能够检测各种已知的rootkit特征码以外，还⽀持端⼝扫描、常⽤程序⽂件的变动情况检查。

rootkit是什么？rootkit是Linux平台下最常见的⼀种⽊马后门⼯具，它主要通过替换系统⽂件来达到⼊侵和和隐蔽的⽬的，这种⽊马⽐普通⽊马后门更加危险和隐蔽，普通的检测⼯具和检查⼿段很难发现这种⽊马。

rootkit攻击能⼒极强，对系统的危害很⼤，它通过⼀套⼯具来建⽴后门和隐藏⾏迹，从⽽让攻击者保住权限，以使它在任何时候都可以使⽤root 权限登录到系统。

rootkit主要有两种类型：⽂件级别和内核级别。

⽂件级别的rootkit: ⼀般是通过程序漏洞或者系统漏洞进⼊系统后，通过修改系统的重要⽂件来达到隐藏⾃⼰的⽬的。

在系统遭受rootkit攻击后，合法的⽂件被⽊马程序替代，变成了外壳程序，⽽其内部是隐藏着的后门程序。

通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等。

⽂件级别的rootkit，对系统维护很⼤，⽬前最有效的防御⽅法是定期对系统重要⽂件的完整性进⾏检查，如Tripwire、aide等。

内核级rootkit: 是⽐⽂件级rootkit更⾼级的⼀种⼊侵⽅式，它可以使攻击者获得对系统底层的完全控制权，此时攻击者可以修改系统内核，进⽽截获运⾏程序向内核提交的命令，并将其重定向到⼊侵者所选择的程序并运⾏此程序。

内核级rootkit主要依附在内核上，它并不对系统⽂件做任何修改。

以防范为主。

1.下载、安装rkhunter[root@bogon src]# wget /project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz安装rkhunter[root@bogon src]# tar -zxf rkhunter-1.4.2.tar.gz[root@bogon src]# cd rkhunter-1.4.2[root@bogon rkhunter-1.4.2]# ./installer.sh --install2.为基本系统程序建⽴校对样本，建议系统安装完成后就建⽴。

隐藏再深也不怕多管齐下揪出Rootkit病毒作者：闽人来源：《电脑爱好者》2021年第05期Rootkit病毒的开发者常常是把后门写成符合微软WDM规范的驱动程序模块，然后把自身添加进注册表的驱动程序加载入口，很多还会通过添加的服务进行自我监视。

这样一旦发现驱动文件被删除则会立刻“复活”，这就导致此类病毒极难被彻底查杀。

因此如果大家怀疑自己的电脑中招Rootkit病毒，首先就要检查当前加载的驱动，这可以借助OpenArk软件（下载地址：https：///）来完成。

安装完该软件后以管理员身份启动，切换到“内核→驱动管理”，它会列出本机里所有加载的驱动程序。

一般情况下，因为Rootkit病毒的开发者没有公司，或者是一些非知名公司，所以我们可以点击“公司”进行排序。

之后对标示红色的驱动进行排查，类似dump _x x x x.sys之类的驱动，通过搜索微软的技术文档可以知道这些是在系统启动时加入到内核，在出现蓝屏时生成dump内存镜像的工具，所以可以先将这类文件筛除（图2）。

接着再忽略英特尔、微软等知名公司的驱动，并结合蓝屏提示，如图1的蓝屏错误，显示的是“passguard_ x64.sys”文件错误，其公司名一栏为空，是可疑文件。

用鼠标右击该文件并选择“定位到文件”，自动跳转到它所在的文件夹，右击这一文件并选择“属性”，依次切换到“数字签名→签名列表→签名者姓名”，可以看到是一个非知名公司的签名（图3）。

笔者试图删除该文件，系统却提示该文件正在被使用而无法删除。

因为驱动都是通过系统服务来加载的，所以先要找到对应的服务。

启动注册表编辑器，依次展开[计算机＼HKEY_ LOCAL _MACHINE＼SYSTEM＼CurrentControlSet＼Ser vices]（即服务所在的键值），搜索关键词“passguard_x64.sys”，可以找到加载该驱动的服务，路径为[H K E Y_ LOCA L _ MACH I N E ＼SYSTEM＼CurrentControlSet＼Services＼PassGuard]（图4）。

黑客实施的攻击步骤有哪些1. 信息收集黑客在实施攻击之前，往往需要进行详细的信息收集，以便了解目标系统的弱点和攻击面。

信息收集的方式包括但不限于以下几种：•Passive Reconnaissance(被动侦察):黑客通过搜索引擎、社交媒体等公开渠道收集目标信息，如公司网站、员工信息等。

•Active Reconnaissance(主动侦察):黑客通过使用端口扫描、漏洞扫描等技术主动侦察目标系统的安全漏洞。

•Social Engineering(社交工程):黑客通过伪装身份或利用其他手段获取目标系统的重要信息，如通过电话或电子邮件与员工交流。

2. 初始访问在完成信息收集后，黑客将寻找目标系统的弱点以获取初始访问权限。

以下是一些常见的攻击手段：•漏洞利用:黑客会尝试利用目标系统上已知的安全漏洞，如未打补丁的软件漏洞或配置错误。

•社交工程:黑客可能会采用钓鱼邮件、钓鱼网站等手段诱导目标用户点击恶意链接或下载恶意附件，从而获得对目标系统的访问权限。

•密码破解:黑客可能使用密码破解工具或通过暴力破解密码的方式获取目标系统的账户密码。

3. 权限提升一旦黑客获得了初始访问权限，他们通常会尝试提升权限，以获取更高级别的访问权限。

以下是一些常见的权限提升技术：•横向移动:黑客在目标系统内部寻找其他系统以及跳板服务器，以获得更多的访问权限。

•提权漏洞:黑客可能会利用目标系统上的操作系统或应用程序的安全漏洞，提升自己的权限。

•帐户控制:黑客可能会试图获取管理员或特权用户的账户和密码，以获得更高级别的访问权限。

4. 持久性黑客通常会在目标系统上设置后门，以确保他们能够长期访问目标系统。

以下是一些常见的持久性技术：•后门程序:黑客可能会在目标系统上安装后门程序，使他们能够在以后的时间重新访问目标系统。

•rootkit:黑客可能会安装rootkit，以隐藏他们的存在并避免被发现。

•计划任务:黑客可能会在目标系统上设置计划任务，以确保他们能够在以后的时间内访问目标系统。

黑客的专业术语有哪些当兵的有暗号，黑客也有专业术语，那么黑客的专业术语都有些什么呢?下面由店铺给你做出详细的黑客专业术语介绍!希望对你有帮助!黑客专业术语1.肉鸡：所谓“肉鸡”是一种很形象的比喻，比喻那些可以随意被我们控制的电脑，对方可以是WINDOWS系统，也可以是UNIX/LINUX系统，可以是普通的个人电脑，也可以是大型的服务器，我们可以象操作自己的电脑那样来操作它们，而不被对方所发觉。

黑客专业术语2.木马：就是那些表面上伪装成了正常的程序，但是当这些被程序运行时，就会获取系统的整个控制权限。

有很多黑客就是热中与使用木马程序来控制别人的电脑，比如灰鸽子，黑洞，PcShare等等。

黑客专业术语3.网页木马：表面上伪装成普通的网页文件或是将而已的代码直接插入到正常的网页文件中，当有人访问时，网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。

黑客专业术语4.挂马：就是在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里，以使浏览者中马。

黑客专业术语5.后门：这是一种形象的比喻，入侵者在利用某些方法成功的控制了目标主机后，可以在对方的系统中植入特定的程序，或者是修改某些设置。

这些改动表面上是很难被察觉的，但是入侵者却可以使用相应的程序或者方法来轻易的与这台电脑建立连接，重新控制这台电脑，就好象是入侵者偷偷的配了一把主人房间的要是，可以随时进出而不被主人发现一样。

通常大多数的特洛伊木马(Trojan Horse)程序都可以被入侵者用语制作后门(BackDoor)黑客专业术语6.rootkit：rootkit：是攻击者用来隐藏自己的行踪和保留root(根权限，可以理解成WINDOWS下的system或者管理员权限)访问权限的工具。

通常，攻击者通过远程攻击的方式获得root访问权限，或者是先使用密码猜解(破解)的方式获得对系统的普通访问权限，进入系统后，再通过，对方系统内存在的安全漏洞获得系统的root权限。

隐藏类软件的原理与应用概述隐藏类软件（Stealth software）是一种通过各种技术手段隐藏自身存在、功能、或者操作的软件。

它广泛应用于多个领域，包括黑客攻击、恶意软件传播以及网络取证等。

本文将介绍隐藏类软件的原理和应用。

I. 隐藏类软件的原理隐藏类软件的主要原理是通过各种技术手段使其在操作系统或者其他软件上呈现正常运行状态的同时，隐藏自身的存在、功能或者操作。

下面列举了隐藏类软件常见的原理：1.进程注入（Process Injection）：这是一种通过将隐藏类软件注入到其他合法进程中执行的技术手段。

隐藏类软件可以在目标进程中运行而不被用户察觉。

2.根包（Rootkit）：根包是一种修改操作系统内核或者驱动程序的软件。

它可以隐藏指定文件、进程、网络连接等，使其在操作系统上不可见。

3.虚拟化（Virtualization）：虚拟化是一种将隐藏类软件运行在一个虚拟化环境中的技术手段。

它可以创建一个隔离的运行环境，使隐藏类软件在其中运行而不被用户察觉。

4.遮蔽（Obfuscation）：遮蔽是一种将隐藏类软件的代码进行混淆和加密的技术手段。

通过使用特殊的算法和技术，隐藏类软件的代码变得难以理解和分析。

II. 隐藏类软件的应用隐藏类软件在实际应用中起到了非常重要的作用。

下面列举了隐藏类软件常见的应用场景：1.黑客攻击：黑客可以使用隐藏类软件来隐藏其攻击行为，例如通过进程注入来隐藏入侵程序的存在，以免被检测和清除。

2.恶意软件传播：隐藏类软件可以用于传播恶意软件，例如通过根包技术将恶意软件隐藏在合法软件中，使其在用户系统上不被察觉。

3.网络取证：隐藏类软件也可以被应用于网络取证领域，用于发现和分析网络攻击行为。

通过分析隐藏类软件的原理和应用方式，可以帮助取证人员找到攻击者的线索。

4.反病毒技术：隐藏类软件的原理和应用也被用于开发反病毒软件。

通过了解隐藏类软件的工作原理，反病毒软件可以检测和清除潜在的隐藏类软件。