Rootkit是一种很深的隐藏在操作系统中执行恶意或lsdyl程序,比如弹出程序、广告软件或者间谍程序等。 大多数安全解决方案不能检测到它们并加以清除。因为Rootkit在操作系统中隐藏得很深并且是以碎片的形式存在。如果在清除过程中漏掉了任何一个相互关联的碎片,rootkit能够自我激活。 一般的病毒扫描通常是清除病毒程序的执行阶段,但是在重新启动操作系统后rootkit能够再次执行,所以问题并没有彻底解决。要解决问题必须从rootkit本身,也就是从恶意程序的源头去根除。 内核模式的rootkit通常***操作文件系统,如果要检测已知及未知的内核模式rootkit,就必须直接访问原始卷并执行干净的启动进行补救。 赛门铁克诺顿2007产品采用Veritas 的VxMS (Veritas 映射服务)技术组件可以直接访问 NTFS 格式的原始卷,并可以绕开 Windows 文件系统 API(应用程序接口)。这种技术使诺顿的反间谍软件能够对运行在驱动程序层面上的rootkit 进行检测并实施补救措施。对于未知的rootkit,赛门铁克采用最新的启发式检测(Heuristic Detection)进行有效防御。
最新的Rrootkit检测结果 来源: 汤普森计算机安全实验室(Thompson Cyber Security Labs)
转载于:https://blog.51cto.com/feiying/42804