如今，rootkit 检测如何工作？

您可能熟悉计算机病毒、广告软件、间谍软件和其他恶意程序，它们在很大程度上被视为威胁。 但是，不同形式或类别的恶意软件（rootkit）可能是其中最危险的。 “危险”是指恶意程序可能造成的损害程度以及用户在查找和删除它时遇到的困难。

什么是 rootkit？

Rootkit 是一种恶意软件，旨在授予未经授权的用户访问计算机（或计算机上的某些应用程序）的权限。 Rootkit 被编程为在保持特权访问的同时保持隐藏（看不见）。 在 rootkit 进入计算机后，它很容易掩盖它的存在，用户不太可能注意到它。

rootkit 对 PC 有何危害？

本质上，通过 Rootkit，网络犯罪分子可以控制您的计算机。 借助如此强大的恶意程序，它们可以强迫您的 PC 执行任何操作。 他们可以窃取您的密码和其他敏感信息，跟踪您计算机上正在执行的所有活动或操作，甚至禁用您的安全程序。

鉴于 Rootkit 劫持或关闭安全应用程序的强大能力，它们很难检测或对抗，甚至比一般的恶意程序更难。 Rootkit 可以在计算机上长期存在或运行，同时逃避检测并造成重大损害。

有时，当高级 rootkit 发挥作用时，用户别无选择，只能删除计算机上的所有内容并重新开始——如果他们想摆脱恶意程序的话。

每个恶意软件都是rootkit吗？

没有。如果有的话，只有一小部分恶意软件是 rootkit。 与其他恶意程序相比，rootkit 在设计和编程方面相当先进。 Rootkit 可以做的比一般的恶意软件要多得多。

如果我们按照严格的技术定义，那么 rootkit 并不完全是恶意程序的一种形式或类型。 Rootkit 仅对应于用于在目标（通常是特定计算机或个人或组织）上部署恶意软件的过程。 可以理解的是，由于 rootkit 经常出现在有关网络攻击或黑客攻击的新闻中，因此该术语已带有负面含义。

公平地说，rootkit 的运行方式与恶意软件非常相似。 他们喜欢不受限制地对受害者的计算机进行操作； 他们不希望保护设施识别或找到它们； 他们通常试图从目标计算机上窃取东西。 归根结底，rootkit 是一种威胁。 因此，他们必须被阻止（首先阻止他们进入）或解决（如果他们已经找到了进入的方式）。

为什么使用或选择 rootkit？

攻击者出于多种目的使用 Rootkit，但大多数情况下，他们会尝试使用它们来改进或扩展恶意软件的隐身能力。 随着隐蔽性的提高，部署在计算机上的恶意负载可能会在更长时间内未被检测到，而恶意程序则可以从网络中窃取或删除数据。

Rootkit 非常有用，因为它们提供了一种方便的方式或平台，未经授权的行为者（黑客甚至政府官员）可以通过它获得对系统的后门访问。 Rootkit 通常通过破坏登录机制来强制计算机为其他人提供秘密登录访问权限来实现此处描述的目标。

Rootkit 也可以被部署来破坏或压倒计算机，让攻击者获得控制权并将设备用作执行某些任务的工具。 例如，黑客以带有 Rootkit 的设备为目标，并将其用作 DDoS（分布式拒绝服务）攻击的机器人。 在这种情况下，如果 DDoS 的源头被检测和追踪，它将导致受感染的计算机（受害者）而不是真正负责的计算机（攻击者）。

参与此类攻击的受感染计算机通常称为僵尸计算机。 DDoS 攻击并不是攻击者对受感染计算机所做的唯一坏事。 有时，黑客会使用受害者的计算机进行点击欺诈或分发垃圾邮件。

有趣的是，在某些情况下，管理员或普通个人出于良好目的部署了 rootkit，但这样的例子仍然很少见。 我们已经看到有关一些 IT 团队在蜜罐中运行 rootkit 以检测或识别攻击的报告。 好吧，这样，如果他们成功完成任务，他们就可以增强他们的仿真技术和安全应用程序。 他们还可能获得一些知识，然后他们可以将其应用于改进防盗保护设备。

然而，如果您不得不处理 rootkit，那么该 rootkit 很可能会被用来对付您（或您的利益）。 因此，学习如何检测该类中的恶意程序以及如何保护自己（或您的计算机）免受恶意程序攻击是很重要的。

Rootkit 的类型

有不同形式或类型的 rootkit。 我们可以根据它们的感染方式和它们在计算机上的操作水平对它们进行分类。 好吧，这些是最常见的 rootkit 类型：

1. 内核模式 rootkit：

内核模式 rootkit 是旨在将恶意软件插入操作系统内核以更改操作系统功能或设置的 rootkit。 “内核”是指操作系统的中心部分，它控制或链接硬件和应用程序之间的操作。

攻击者发现部署内核模式 rootkit 很困难，因为如果使用的代码失败，此类 rootkit 往往会导致系统崩溃。 但是，如果他们确实成功部署，那么 rootkit 将能够造成难以置信的破坏，因为内核通常拥有系统中的最高权限级别。 换句话说，通过成功的内核模式 rootkit，攻击者可以轻松地利用受害者的计算机。

2. 用户模式 ​​rootkit：

此类中的 rootkit 是通过充当普通程序或常规程序来执行的。 它们倾向于在应用程序运行的相同环境中运行。 出于这个原因，一些安全专家将它们称为应用程序 rootkit。

用户模式 ​​rootkit 相对更容易部署（比内核模式 rootkit），但它们的能力较弱。 它们比内核 rootkit 造成的损害更小。 理论上，安全应用程序也发现处理用户模式 ​​rootkit 更容易（与其他形式或类别的 rootkit 相比）。

3. Bootkit（引导 rootkit）：

Bootkit 是通过感染主引导记录来扩展或改进常规 rootkit 能力的 rootkit。 在系统启动期间被激活的小程序构成了主引导记录（有时缩写为 MBR）。 bootkit 基本上是一个攻击系统的程序，它可以用被黑的版本替换正常的引导加载程序。 这样的 rootkit 甚至在计算机的操作系统启动和稳定下来之前就被激活了。

鉴于 bootkits 的感染模式，攻击者可以将它们用于更持久的攻击形式，因为它们被配置为在系统启动时运行（即使在防御性重置之后）。 此外，它们往往在系统内存中保持活跃，这是一个很少被安全应用程序或 IT 团队扫描以查找威胁的位置。

4. 内存rootkit：

内存 rootkit 是一种旨在隐藏在计算机 RAM 中的 rootkit（随机存取存储器的首字母缩写词，与临时内存相同）。 这些 rootkit（一旦进入内存）然后在后台执行有害操作（用户不知道它们）。

幸运的是，内存 rootkit 的寿命往往很短。 它们只能在您计算机的 RAM 中进行会话。 如果你重新启动你的电脑，那么它们就会消失——至少在理论上，它们应该会消失。 然而，在某些情况下，重启过程是不够的； 用户最终可能不得不做一些工作来摆脱内存 rootkit。

5. 硬件或固件 rootkit：

硬件或固件 rootkit 的名称来自它们在计算机上的安装位置。

众所周知，这些 rootkit 可以利用系统固件中嵌入的软件。 固件是指为特定硬件（或设备）提供低级别控制或指令的特殊程序类。 例如，您的笔记本电脑具有由其制造商加载的固件（通常是 BIOS）。 你的路由器也有固件。

由于固件 rootkit 可以存在于路由器和驱动器等设备上，它们可以隐藏很长时间——因为很少检查或检查这些硬件设备的代码完整性（如果它们甚至被检查过的话）。 如果黑客使用 Rootkit 感染您的路由器或驱动器，那么他们将能够拦截流经设备的数据。

如何远离 rootkit（给用户的提示）

即使是最好的安全程序仍然与 rootkit 作斗争，因此您最好采取一切必要措施来防止 rootkit 首先进入您的计算机。 保持安全并不难。

如果您坚持最佳安全实践，那么您的计算机被 rootkit 感染的机会就会大大降低。 这里是其中的一些：

1. 下载并安装所有更新：

您根本无法忽略任何更新。 是的，我们知道应用程序的更新可能很烦人，操作系统版本的更新可能会令人不安，但您不能没有它们。 保持程序和操作系统的更新可确保您获得安全漏洞或漏洞的补丁，攻击者利用这些漏洞将 rootkit 注入您的计算机。 如果漏洞和漏洞被关闭，您的 PC 会变得更好。

2. 注意网络钓鱼电子邮件：

网络钓鱼电子邮件通常由诈骗者发送，他们希望诱骗您向他们提供您的个人信息或敏感详细信息（例如登录详细信息或密码）。 然而，一些网络钓鱼电子邮件鼓励用户下载和安装一些软件（通常是恶意的或有害的）。

此类电子邮件可能看起来像是来自合法发件人或受信任的个人，因此您必须提防它们。 不要回应他们。 不要单击其中的任何内容（链接、附件等）。

3. 注意路过式下载和意外安装：

在这里，我们希望您注意下载到您计算机上的内容。 您不想获得恶意文件或安装恶意程序的不良应用程序。 您还必须注意您安装的应用程序，因为某些合法应用程序与其他程序捆绑在一起（可能是恶意程序）。

理想情况下，您应该只从官方页面或下载中心获取官方版本的程序，在安装过程中做出正确的选择，并注意所有应用程序的安装过程。

4. 安装保护实用程序：

如果 rootkit 要进入您的计算机，那么它的进入很可能与您计算机上存在或存在的另一个恶意程序有关。 好的防病毒或反恶意软件应用程序很有可能会在引入或激活 rootkit 之前检测到原始威胁。

受到推崇的

使用反恶意软件保护 PC 免受威胁

检查您的 PC 是否存在您的防病毒软件可能遗漏的恶意软件，并使用 Auslogics Anti-Malware 安全删除威胁

Auslogics Anti-Malware 是 Auslogics 的产品，获得了 Microsoft Silver Application Developer 认证

现在下载

如何检测 rootkit（以及给组织和 IT 管理员的一些提示）

很少有实用程序能够检测和删除 rootkit。 即使是胜任的安全应用程序（已知可以处理此类恶意程序）有时也会遇到困难或无法正确完成工作。 当恶意软件存在并在内核级别（内核模式 rootkit）运行时，Rootkit 删除失败更为常见。

有时，在机器上重新安装操作系统是摆脱 rootkit 的唯一方法。 如果您正在处理固件 rootkit，那么您最终可能不得不更换受影响设备内的一些硬件部件或获得专门的设备。

最好的 rootkit 检测过程之一需要用户执行 rootkit 的顶级扫描。 “顶级扫描”是指在受感染机器关闭时由单独的干净系统操作的扫描。 从理论上讲，这样的扫描应该足以检查攻击者留下的签名，并且应该能够识别或识别网络上的一些犯规行为。

您还可以使用内存转储分析来检测 rootkit，尤其是当您怀疑涉及锁定到系统内存以进行操作的 bootkit 时。 如果在普通计算机的网络中存在 rootkit，那么如果它正在执行涉及内存使用的命令，它可能不会被隐藏——并且托管服务提供商 (MSP) 将能够查看恶意程序发出的指令.

行为分析是另一种可靠的程序或方法，有时用于检测或跟踪 rootkit。 在这里，您不能直接通过检查系统内存或观察攻击特征来检查 rootkit，而必须在计算机上查找 rootkit 症状。 诸如运行速度慢（比正常速度慢很多）、奇怪的网络流量（不应该存在）和其他常见的异常行为模式之类的事情应该让 rootkits 离开。

管理服务提供商实际上可以在其客户系统中部署最小权限原则 (PoLP) 作为一种特殊策略，以处理或减轻 rootkit 感染的影响。 使用 PoLP 时，系统被配置为限制网络上的每个模块，这意味着各个模块只能访问其工作（特定目的）所需的信息和资源。

好吧，建议的设置确保了网络分支之间更严格的安全性。 它还足以阻止未经授权的用户将恶意软件安装到网络内核，这意味着它可以防止 rootkit 侵入并造成麻烦。

幸运的是，平均而言，rootkit 正在下降（与过去几年激增的其他恶意程序的数量相比），因为开发人员正在不断提高操作系统的安全性。 端点防御越来越强大，更多的 CPU（或处理器）被设计为采用内置的内核保护模式。 然而，目前，rootkits 仍然存在，无论在哪里发现它们都必须被识别、终止和删除。