Rootkit的类型、功能及主要技术 Rootkit的类型小结 1.固化Rootkits和BIOSRootkits 固化程序是存于ROM中，通常很小，使用系统硬件和BIOS创建顽固的软件镜像。将制定的代码植入到BIOS中，刷新BIOS，在BIOS初始化的末尾获得运行机会。重启无用、格式化无用，在硬盘上无法探测，现有的安全软件将大部分的扫描时间用在了对硬盘的扫描上。 本文整理：（第三方信息安全网）http://www.thirdsecurity.net/ 2内核级Rootkits 内核级Rootkits(KernellandRootkits)是通过修改内核、增加额外的代码、直接修改系统 调用表、系统调用跳转(SyscallJump)，并能够替换一个操作系统的部分功能，包括内核和 相关的设备驱动程序。现在的操作系统大多没有强化内核和驱动程序的不同特性。许多内核 模式的Rootkit是作为设备驱动程序而开发，或者作为可加载模块，如Linux中的可加载 模块或Windows中的设备驱动程序，这类Rootkit极其危险，它可获得不受限制的安全访 问权。如果代码中有任何一点错误，那么内核级别的任何代码操作都将对整个系统的稳定性 产生深远的影响。 特点：无进程；无端口。与用户级Rootkit相比，与操作系统处于同一级别，可以修改或 破坏由其它软件所发出的任何请求。 3用户态Rootkits 用户态Rootkits(UserlandRootkits)是运行在Ring3级的Rootkit，由于Ring3级就是 用户应用级的程序，而且信任级别低，每一个程序运行，操作系统给这一层的最小权限。用 户态Rootkit使用各种方法隐藏进程、文件，注入模块、修改注册表等。 4应用级Rootkits 应用级Rootkits通过具有特洛伊木马特征的伪装代码来替换普通的应用程序的二进制代 码，也可以使用Hook、补丁、注入代码或其它方式来修改现有应用程序的行为。 5代码库Rootkits 代码库Rootkits用隐藏攻击者信息的方法进行补丁、Hook、替换系统调用。这种Rootkit可 以通过检查代码库(如Windows中DLL)的改变而发现其踪迹。实际上，很难检测一些应用 程序和补丁包一起发行的多种程序库中的Rootkit。 6虚拟化Rootkits与HypervisorRootkits 虚拟化Rootkit（VirtualRootkits）是利用虚拟机技术的虚拟机Rootkit（是模仿软件虚 拟机形式的Rootkit）。这种Rootkit通过修改计算机的启动顺序而发生作用,目的是加载 自己而不是原始的操作系统。一旦加载到内存，虚拟化Rootkits就会将原始的操作系统加 载为一个虚拟机，这使得Rootkit能够截获客户操作系统所发出的所有硬件请求。 HypervisorRootkits是一种基于硬件或固化的Rootkit。它具有管理员权限的管理程序， 可以在支持硬件协助虚拟化和未安装虚拟化软件的系统上安装基于Hypervisor的 Rootkit。然后，这个基于Hypervisor的Rootkit将可以在比操作系统本身更高的权限级 别上运行。 特点：合法内核模式代码降低了检测出攻击者Hypervisor模式代码的能力。它是在硬件上 运行的虚拟的环境，由于攻击者强行在真正的内核插入虚拟机，在硬件上运行，因此，这常 被误认为是内核Rootkits。在攻击者执行内核模式代码之前，HypervisorRootkits不会 运行。当一个系统被HypervisorRootkits感染时，在该系统的Kernelland没有任何迹象， 这是与HypervisorRootkits而不是真正的硬件交互。因此，几乎是不可能从Kernelland、 Userland和应用层检测到。在Rootkit和Anti-Rootkit的对抗中，取决于对该Hypervisor 层的检测和预防，以及在哪一层安装了Rootkit。谁先去接近硬件就是赢者。这意味着如果 用户运行基于Userland或Kernelland的Anti-Rootkit工具，无法检测到 HypervisorRootkits，因为前者不是运行在真实的硬件上，但高于真正的硬件虚拟机。 rootkit的常见功能： 隐藏文件：通过stracels可以发现ls命令其实是通过sys_getdents64获得文件目录的， 因此可以通过修改sys_getdents64系统调用或者更底层的readdir实现隐藏文件及目录， 还有对ext2文件系统直接进行修改的方法，不过实现起来不够方便，也有一些具体的限制。 隐藏进程：隐藏进程的方法和隐藏文件类似，ps命令是通过读取/proc文件系统下的进程目 录获得进程信息的，只要能够隐藏/proc文件系统