蔡恩澤

有道是：臥榻之側(cè)豈容他人鼾睡，然而就有一種人，他的床邊有人在鼾睡，他卻渾然不知。而這個睡在別人家床旁打呼的人就是電腦系統(tǒng)攻擊者，他們之所以能偷偷地鉆進(jìn)別人家的房間，并能逃脫主人的監(jiān)視而安然入睡，靠的是“Rootkit這一獨(dú)門暗器。

間諜軟件Rootkit是攻擊者侵入別人電腦后用來隱藏自己的蹤跡和保留root訪問權(quán)限的工具。

Rootkit基本上都是由幾個獨(dú)立的程序組成的，一個典型的Rootkit包括：以太網(wǎng)嗅探器程序，用于獲得網(wǎng)絡(luò)上傳輸?shù)挠脩裘兔艽a等信息；特洛伊木馬程序，例如：inetd或者login，為攻擊者提供后門；隱藏攻擊者的目錄和進(jìn)程的程序，例如：ps、netstat、rshd和ls等；

可能還包括一些日志清理工具，例如：zap、zap2或者z2，攻擊者使用這些清理工具刪除wtmp、utmp和lastlog等日志文件中有關(guān)自己行蹤的條目；一些復(fù)雜的Rootkit還可以向攻擊者提供telnet、shell和Tenger等服務(wù)，還包括一些用來清理/vat/log和/var/adm目錄中其它文件的一些腳本。

通常，攻擊者通過密碼猜測或密碼強(qiáng)制破譯的方式，利用遠(yuǎn)程攻擊獲得別人電腦系統(tǒng)的root訪問權(quán)限。進(jìn)入系統(tǒng)后，如果他還沒有獲得root權(quán)限，再通過某些安全漏洞獲得系統(tǒng)的root權(quán)限。接著，攻擊者會在侵入的主機(jī)中安裝Rootkit，然后他將經(jīng)常通過Rootkit的后門檢查系統(tǒng)是否有其他的用戶登錄，如果沒有異?，F(xiàn)象，攻擊者就開始著手清理日志中的有關(guān)信息。通過Rootkit的嗅探器獲得其它系統(tǒng)的用戶和密碼之后，攻擊者就會利用這些信息侵入其它系統(tǒng)。

Rootkit是一種奇特的程序，它具有隱身功能，無論靜止時作為文件存在，還是活動時作為進(jìn)程存在，都不會被察覺。

Rootkit的目的在于隱藏自己以及其他軟件不被發(fā)現(xiàn)。它可以通過阻止用戶識別和刪除攻擊者的軟件來達(dá)到這個目的。Rootkit幾乎可以隱藏任何軟件，包括文件服務(wù)器、鍵盤記錄器、Botnet和Remailer。許多Rootkit甚至可以隱藏大型的文件集合并允許攻擊者在你的計(jì)算機(jī)上保存許多文件，而你無法看到這些文件。這就好比有人占用你的房間堆放雜物，你卻蒙在鼓里一樣。

這種程序可能一直存在于我們的計(jì)算機(jī)中，但你卻毫不覺察，直到某一天其它系統(tǒng)的管理員和你聯(lián)系，或者嗅探器的日志把磁盤全部填滿，你才感覺到已經(jīng)大禍臨頭了。

這一功能正是許多人夢寐以求的。黑客可以在入侵后置入Rootkit，秘密地窺探敏感信息，或伺機(jī)而動；取證人員可以利用Rootkit實(shí)時監(jiān)控嫌疑人員的不法行為，它不僅能搜集證據(jù)，還有利于及時采取行動；而間諜則通過遠(yuǎn)程控制程序，緊盯著他們需要的情報(bào)。

Rootkit是一種特殊類型的惡意軟件。Rootkit之所以特殊是因?yàn)槟愀静恢浪鼈冊谧鍪裁词虑?。Rootkit基本上是無法檢測到的，而且?guī)缀醪豢赡馨阉鼈儎h除。

雖然檢測工具在不斷增多，但是惡意軟件的開發(fā)者也在不斷尋找新的途徑來掩蓋他們的蹤跡，Rootkit也在不斷更新，呈以下發(fā)展趨勢：

其一，Rootkit不僅可以通過木馬的形式進(jìn)行傳播，更將借助惡意軟件的形式傳播。未來的Rootkit的發(fā)展趨勢是與惡意軟件越來越多地結(jié)合，或者將自己隱藏于惡意軟件之中。這種隱藏技術(shù)的最嚴(yán)重后果便是Rootkit不但能夠輕易地將僵尸隱藏于系統(tǒng)的“視線”之外，還可以避開檢測Rootkit的最后一道防線——網(wǎng)絡(luò)檢測。

其二，嵌入式Windows Rootkit成為主流。今天我們所看到的許多Rootkit活動都是針對Windows平臺的。而據(jù)統(tǒng)計(jì)，近年來71％的Rootkit也是針對Windows的，針對Linux的幾乎沒有，這也是未來Rootkit發(fā)展趨勢。

其三，在合法和非法的軟件中都發(fā)現(xiàn)Rootkit攻擊。五花八門的盜竊技術(shù)幾乎能夠把他們傳播到每個已知的惡意軟件中。根據(jù)美國網(wǎng)絡(luò)聯(lián)盟旗下反病毒緊急響應(yīng)組的研究，盜竊技術(shù)的攻擊形式已經(jīng)覆蓋各種軟件分發(fā)形式，許多著名的Rootkit證明了這一點(diǎn)。比如BackDoor-BAC通過垃圾郵件、木馬下載和直接爆發(fā)進(jìn)行分發(fā)；HackerDefendcr通常通過垃圾郵件、BOT、直接爆發(fā)和P2P的方式進(jìn)行分發(fā)；還有一些Rootkit通過群發(fā)郵件蠕蟲進(jìn)行下載，并創(chuàng)建復(fù)雜的混合攻擊。

作為黑客們攻擊目標(biāo)的利器，Rootkit正在不為人知的黑暗世界，迅速雄起，它也在很大程度上推動著高科技犯罪的不斷演進(jìn)，必須引起我們的重視。