Rootkit

Rootkit 是通过拦截（即 Hooking）和修改提供系统信息的操作系统 API 调用来隐藏恶意软件存在的程序。 Rootkit 或 rootkit 启用功能可以驻留在操作系统中的用户或内核级别或更低级别，以包括 Hypervisor，主引导记录或系统固件。

攻击者可以使用 rootkit 来隐藏程序，文件，网络连接，服务，驱动程序和其他系统组件。Rootkit 已经在 Windows，Linux 和 Mac OS X 系统出现过。

缓解

识别可能包含 rootkit 功能的潜在恶意软件，并在适当的情况下使用白名单工具（如 AppLocker、 或软件限制策略) 审计和/或拦截它们。

检测

一些 rootkit 保护可以内置到反病毒或操作系统软件中。有专门的 rootkit 检测工具，可以查找特定类型的 rootkit 行为。监视是否存在无法识别的 DLL，设备，服务以及对 MBR 的更改。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn