Rootkit是指其主要功能為隱藏其他程式進(jìn)程的軟件，可能是一個(gè)或一個(gè)以上的軟件組合；廣義而言，Rootkit也可視為一項(xiàng)技術(shù)。那么Rootkit究竟是什么呢？它又擁有何種功能呢？在后邊的文章里，會(huì)為大家一一解釋。

rootkit是什么

在網(wǎng)絡(luò)安全中經(jīng)常會(huì)遇到rootkit，NSA安全和入侵檢測(cè)術(shù)語(yǔ)字典( NSA Glossary of Terms Used in Security and Intrusion Detection)對(duì)rootkit的定義如下：A hacker security tool that captures passwords and message traffic to and from a computer. A collection of tools that allows a hacker to provide a backdoor into a system, collect information on other systems on the network,mask the fact that the system is compromised, and much more. Rootkit is a classic example of Trojan Horse software. Rootkit is available for a wide range of operating systems.

好多人有一個(gè)誤解，他們認(rèn)為rootkit是用作獲得系統(tǒng)root訪問(wèn)權(quán)限的工具。實(shí)際上，rootkit是攻擊者用來(lái)隱藏自己的蹤跡和保留root訪問(wèn)權(quán)限的工具。通常，攻擊者通過(guò)遠(yuǎn)程攻擊獲得root訪問(wèn)權(quán)限，或者首先密碼猜測(cè)或者密碼強(qiáng)制破譯的方式獲得系統(tǒng)的訪問(wèn)權(quán)限。進(jìn)入系統(tǒng)后，如果他還沒有獲得root權(quán)限，再通過(guò)某些安全漏洞獲得系統(tǒng)的root權(quán)限。接著，攻擊者會(huì)在侵入的主機(jī)中安裝rootkit，然后他將經(jīng)常通過(guò)rootkit的后門檢查系統(tǒng)是否有其他的用戶登錄，如果只有自己，攻擊者就開始著手清理日志中的有關(guān)信息。通過(guò)rootkit的嗅探器獲得其它系統(tǒng)的用戶和密碼之后，攻擊者就會(huì)利用這些信息侵入其它的系統(tǒng)。

rootkit的功能

最早Rootkit用于善意用途，但后來(lái)Rootkit也被黑客用在入侵和攻擊他人的電腦系統(tǒng)上，電腦病毒、間諜軟件等也常使用Rootkit來(lái)隱藏蹤跡，因此Rootkit已被大多數(shù)的防毒軟件歸類為具危害性的惡意軟件。Linux、Windows、Mac OS等操作系統(tǒng)都有機(jī)會(huì)成為Rootkit的受害目標(biāo)。 Rootkit出現(xiàn)于二十世紀(jì)90年代初，在1994年2月的一篇安全咨詢報(bào)告中首先使用了rootkit這個(gè)名詞。這篇安全咨詢就是CERT-CC的CA-1994-01，題目是Ongoing Network Monitoring Attacks，最新的修訂時(shí)間是1997年9月19日。從出現(xiàn)至今，rootkit的技術(shù)發(fā)展非常迅速，應(yīng)用越來(lái)越廣泛，檢測(cè)難度也越來(lái)越大。

Rootkit是一種奇特的程序，它具有隱身功能：無(wú)論靜止時(shí)（作為文件存在），還是活動(dòng)時(shí)，（作為進(jìn)程存在），都不會(huì)被察覺。換句話說(shuō)，這種程序可能一直存在于我們的計(jì)算機(jī)中，但我們卻渾然不知，這一功能正是許多人夢(mèng)寐以求的——不論是計(jì)算機(jī)黑客，還是計(jì)算機(jī)取證人員。黑客可以在入侵后置入Rootkit，秘密地窺探敏感信息，或等待時(shí)機(jī)，伺機(jī)而動(dòng)；取證人員也可以利用Rootkit實(shí)時(shí)監(jiān)控嫌疑人員的不法行為，它不僅能搜集證據(jù)，還有利于及時(shí)采取行動(dòng)！