根治rootkit问题

最近，在索尼使用rootkit技术保护音乐cd拷贝之后，rootkit就上了新闻。Rootkit定义了一组技术和方法，用于软件对操作系统、系统管理员和最终用户隐藏其存在。它被病毒、间谍软件和木马程序(如键盘和屏幕捕捉程序)所使用，但一些公司，如索尼，也将同样的技术用于数字版权管理(DRM)。由于与类似rootkit行为相关的广泛负面宣传，索尼的例子提供了一个很好的研究内核级rootkit使用的技术。

rootkit使用很多方法来隐藏自己，比如:

• 假装是正常程序;

• 伪装成现有的节目;

• 使用看起来是有效的现有名称的名称;或

• 可能是用户不容易识别的操作系统程序。

后者被称为内核级rootkit，它们是最危险的，因为很难检测到，而且可能不可能移除。典型的内核级rootkit将中断所有MS-Windows api调用来读取目录。然后它将从返回的列表中删除自己的文件名。这是通过修改Windows系统调用表来实现的。当程序进行系统调用时，将调用rootkit代码，然后它调用真正的系统函数，返回过滤后的信息。索尼的rootkit通过隐藏任何以“$sys$”开头的文件来包含这个功能。内核级rootkit使用另一种方法来安装可以过滤或更改数据的设备驱动程序。例如，索尼的rootkit将自己插入到通常用于访问CD的驱动程序堆栈中。插入的代码检查有效的版权，还通过互联网连接来记录音乐播放的频率和时长。不幸的是，索尼所采用的技术也被其他人用来控制电脑。

被rootkit感染最简单的方法之一是通过恶意移动存储(CD, DVD, u盘)。一旦受到感染，计算机就很容易感染网络中的其他计算机。Windows的自动运行功能检查自动运行。Inf文件插入的媒体。自动运行。Inf通常指向磁盘上的一个可执行程序，该程序在磁盘安装时自动运行。rootkit会在用户有机会读取磁盘之前自动安装，这对于任何制造系统来说都是非常危险的行为。应在所有制造服务器和客户端上禁用Autorun。有关在所有可移动存储上禁用自动运行的说明，请参阅微软网站。

内核级rootkit不能被大多数病毒防护系统检测到，然而，免费工具可以检测到rootkit。RootKitRevealer (www.sysinternals.com/Utilities/RootkitRevealer.html)可以在Windows系统上使用。RootKitRevealer由Bryce Cogswell和Mark Russinovich撰写。马克发现了索尼的rootkit，他的发现故事(www.sysinternals.com/blog/)非常引人入胜。Root-KitRevealer使用API系统调用将所有目录和注册表项与来自文件系统和注册表的低级直接调用的数据进行比较。除了Windows故意使用的不匹配之外，任何不匹配都可能表明系统受到了损害。

Windows系统并不是唯一容易受到攻击的系统。Linux和Unix是rootkit的第一个目标;因此，它们可能比Windows服务器更容易受到攻击。这个项目kern_check(https://la-samhna.de/library/kern_ check .)可以检测Linux系统上的内核级rootkit。

如果你发现你的制造软件已经感染了rootkit，你的补救措施是有限的。手动删除内核级rootkit需要对操作系统结构有详细的系统知识，不建议普通系统管理员使用。有一些免费工具可以移除最常见的rootkit，但通常最简单的方法是重新安装操作系统和应用程序。对于内核级别的rootkit保护，预防是最好的防御。

作者信息

Dennis Brandl是BR&L Consulting的总裁，该公司位于北卡罗来纳州卡里，专注于制造业IT解决方案。dbrandl@brlconsulting.com

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。