Rootkit 根套件
给攻击者提供远程、管理员级访问权限的恶意软件。名字来自 Unix —— “root” 是最高权限,“kit” 是一套工具。一旦 rootkit 装上,攻击者就拥有了系统的上帝视角。
Rootkit 最可怕的特征:隐蔽
Rootkit 不是普通病毒,它篡改操作系统本身来隐藏自己:
- Hook 系统调用 → 你
ls看不到它的文件 - 篡改
tasklist/ps→ 进程不显示 - 拦截网络流量统计 → 流量不计入
- 杀软自己被欺骗 → 扫描结果”干净”
Rootkit 分类(按潜伏层级)
| 类型 | 藏在哪 | 难度 |
|---|---|---|
| User-mode | 应用层 | 容易发现 |
| Kernel-mode | 操作系统 内核 | 难 |
| Bootkit | 引导扇区 | 重装系统都干不掉 |
| Firmware | BIOS / UEFI / 硬盘固件 | 几乎只能换硬件 |
| Hypervisor | 虚拟化层之下 | 理论存在,实战罕见 |
历史上的著名 Rootkit
- Sony BMG Rootkit (2005) —— 索尼防盗版 CD 装到几百万用户机器上,翻车
- Stuxnet —— 攻击伊朗核设施,用 rootkit 隐藏
- NSA Equation Group —— 硬盘固件级 rootkit
检测和移除
- 离线扫描(从 LiveCD 启动,不让 rootkit 跑起来)
- 行为检测(比对系统调用结果不一致)
- 严重的:重装系统,固件级的:换硬件
属于 Malware 大类里最危险的一种。