Rootkits病毒主要分为两类:
第一种是进程注入的rootkit,另一种是驱动级rootkit。
第一种Rootkits技术通常会释放动态链接库(DLL)文件,并将其注入到可执行文件和系统服务进程中,以防止操作系统和应用程序访问被感染的文件。
第二种Rootkits技术更复杂。当系统启动时,Rootkits病毒通过加载驱动程序加载到系统中,先于杀毒软件,并获得对操作系统的合法控制权。当杀毒软件通过系统API和NTAPI访问文件系统时,会对其进行监控,但是一旦发现被Rootkits感染的文件,就会返回一个错误的结果,从而阻止操作系统和应用程序访问被感染的文件。
第一个Rootkits病毒很容易处理,使用反病毒软件可以轻松删除,不会造成任何严重后果。
第二种Rootkits病毒,因为作为驱动加载到系统中时被认为是驱动的一部分,现阶段没有更好的解决方案。少数杀毒软件在处理这类Rootkits病毒时甚至会漏检查杀。大多数杀毒软件都会发现这类病毒,但往往无法清除。一些作者在实际工作中遇到了几个问题。现在,我总结一下解决方案,分享给大家:
第一个例子的现象是操作系统可以正常运行,但是杀毒软件启动不了。没有任何可疑的后台和前台进程,CPU利用率非常高,毫无疑问系统被病毒感染。由于系统本身无法清除病毒,不得不将机器硬盘取下,挂在另一个未被病毒感染的操作系统中进行从盘杀毒。由于病毒盘上的所有文件在干净的操作系统中仅被视为普通文件,因此病毒被迅速移除。解决问题。
在第二个例子中,情况更加严重。系统进入桌面后,出现蓝屏。询问操作员后得知,前一天杀毒软件报了病毒,重启杀毒后出现桌面蓝屏。排除硬件和程序问题后,判断rootkits病毒破坏了操作系统中的一个启动文件,病毒是从磁盘挂机杀毒后发现的。但随着操作系统主盘启动,进入桌面即蓝屏的现象依然出现。根据经验,考虑到rootkits病毒可能会先破坏杀毒软件,原杀毒软件无法启动,我们还是用其他操作系统强行删除原系统的杀毒软件文件,然后重新加载原系统,解决问题,重新加载杀毒软件。杀了之后就没有病毒了。
根据以上两个例子,笔者总结出的特点是,Rootkits病毒不仅具有很强的伪装性,还会对操作系统造成一定的破坏。