Rootkit
Rootkit 是通过拦截(即 Hooking)和修改提供系统信息的操作系统 API 调用来隐藏恶意软件存在的程序。 Rootkit 或 rootkit 启用功能可以驻留在操作系统中的用户或内核级别或更低级别,以包括 Hypervisor,主引导记录或系统固件。
攻击者可以使用 rootkit 来隐藏程序,文件,网络连接,服务,驱动程序和其他系统组件。Rootkit 已经在 Windows,Linux 和 Mac OS X 系统出现过。
缓解
识别可能包含 rootkit 功能的潜在恶意软件,并在适当的情况下使用白名单工具(如 AppLocker、 或软件限制策略) 审计和/或拦截它们。
检测
一些 rootkit 保护可以内置到反病毒或操作系统软件中。有专门的 rootkit 检测工具,可以查找特定类型的 rootkit 行为。监视是否存在无法识别的 DLL,设备,服务以及对 MBR 的更改。
- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论