扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作为一种软件,rootkit可以连接并进入计算机的同时,向用户和管理员隐藏它存在的迹象。尽管rootkit本身可能是无害的,但隐藏的软件或进程却几乎都是存在问题的。和病毒不同,rootkit可以获得计算机的管理权限。Rootkit就是病毒中的万人迷,可以带来最严重的损害和威胁。处理Rootkit时遇到的最大问题就是,一旦系统被入侵,就很难防范检测和清除,因为它们的主要目的就是制造混乱。
但是,这并不意味着你一定要被rootkit摆布。你可以制定防范措施,在它们出现的时间予以阻止。更妙的是,你可以在出现的第一个地方将它们清除。
1对系统进行保护
你并不需要随时关注所有事情。当然,这也不意味着你需要放弃保护措施。在安装新Linux系统时,首先要做的就是安装rkhunter。它是一个非常有效的rootkit防御工具。如果你使用的不是Linux操作系统,就需要选择AVG Anti Rootkit或ComboFix之类工具来完成相关任务。
2关注各种细微的迹象
尽管rootkit不会主动暴露出可以让你发现的微小痕迹,但总是有办法做到这一点的。如果接收到来自不同对象的通知,宣称你正在发送大量垃圾邮件的话,就很可能存在一个隐藏的rootkit,让系统成为僵尸网络的组成部分。如果你的服务器属于网络服务器,在发现奇怪的重定向操作时间,就可能已经中毒了。对于UNIX和类UNIX系统,可以查看可执行文件的版本或者目录结构的变化情况。如果你使用ls/usr/bin或ls/usr/sbin命令进行查看时,发现正常应用似乎出现命名错误的话,就很有可能是受到rootkit的攻击。当然,最简单的检测方法就是定期运行rkhunter
3清除它
如果发现系统已经被感染的话,那首先要做的就是关闭这台机器!然后,移出驱动器,安装在另一台机器(最好是非Windows系统)上,并将数据拷贝出来。这是因为存在重新安装操作系统的可能,所以,要确保数据不受到影响。而且,启动和运行受到感染的系统,只会带来更大的损害,尤其是在垃圾邮件机器人或类似软件运行的情况下。
4千万不要忘记Tripwire
数据完整性监控工具Tripwire可以用来对给定的配置系统/目录里的文件变化进行监控。而rootkit的一项主要工作就是掩饰恶意软件的存在。通常情况下,它们会采用重命名文件或文件夹或安装类似名称的文件/文件夹的方式。使用诸如Tripwire之类的工具,你可以马上发现这种行为。在这里至关重要的是,在安装完操作系统后,你应该马上安装Tripwire。否则的话,rootkit可能已经安装到系统里了,Tripwire的实际效果就会大受影响。
5进行内存转存处理
这是一种更具挑战性的方法,它是可以使用私有工具或代码的专家最喜欢的选择。你可以对可能或确认受到感染的内核(甚至全部)内存进行强制转存,以捕捉rootkit可能进行的任何活动。内存转存操作的结果可以用调试工具来进行分析。在分析过程中,rootkit不能混淆其工作,并会被检测出来。当然,这样的话,你将不得不清除数据并重新安装。
坚持预防为主
Rootkits带来的危害是非常严重的。因此,最好的办法是安装安全工具,防止系统被感染。而rootkit最大的问题是,它们造成的危害需要你清除数据和重新安装系统。所以,我们必须积极行动起来,采取一些办法来进行预防。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者