社区:
清除rootkit涉及到两个问题,一是清除rootkit自身,二是清除rootkit秘密种植的恶意软件。因为rootkit是通过改变操作系统自身而运行的,所以清除rootkit要冒着导致系统不稳定或崩溃的风险。清除rootkit所安装的恶意软件也存在着清除任何恶意软件的一般问题。不过,如果用户没有清除rootkit,也就无法从根本上断绝恶意软件。因此,笔者认为,在用户确信系统没有感染rootkit之前,最好做一个系统文件的干净镜像,在用户怀疑自己的磁盘启动扇区可能已经不洁净时,就可以用这个镜像来恢复系统。
就目前来看,许多反病毒软件和恶意软件清除工具在面对rootkit时是无能为力的。笔者推荐用户使用BartPE及其它的预安装环境,也可以使用LiveDistros,后者允许用户用一个干净的无rootkit感染的操作系统副本来启动其计算机。如此一来也就允许用户检查并替换受感染的系统文件并删除恶意的rootkit,同时又保持底层系统的清洁。因为多数rootkit需要在操作系统的最低层钩住(hook)系统文件,所以启动进入安全模式一般来讲并不能清除rootkit进程。相比较而言,PE并不依赖于感染的底层系统结构,而是装载一个清洁的、只读性的操作系统副本,从而可以做到完全控制并删除rootkit。虽然多数管理员更喜欢从头安装一个崭新的系统,但如果重装系统不能被接受时,一个使用PE很熟练的管理员可以依靠工具来清洁受感染的系统。
避免感染rootkit
不懂防守,怎能进攻?防患于未然也许是最好的安全理念。避免感染 rootkit这种毒瘤的基本规则总体上也适用于避免任何恶意软件,但是对付它还有一些特别的考虑:
Rootkit能够干扰或从底层控制操作系统的正常运行,而要达到这个水平,就要求完全的管理员权限,否则它就无法安装。所以作为管理员,要向用户强调:使用一个拥有少量权限的受限用户来登录可以避免感染rootkit。虽然在用户需要管理员权限时,许多操作会显得不方便。但安全性永远是第一位的。
有没有更适用的方法呢?答案是肯定的。我们可以使用Process Guard和Anti Hook之类的安全工具,这种工具可以防止其它程序安装全局性的钩子。多数rootkit依赖于建立全局钩子才能实施秘密操作。如果可以避免安装全局性钩子,多数rootkit就只能“望机兴叹”了。其实,笔者所提到上面这两种工具不仅可以阻止钩子的安装,它们还拥有其它特性,如防止进程的注入等。(下图7)
 |
笔者认为Process Guard和Anti Hook这两个工具还是比较专业的,尤其适用于那些使用高风险网络的用户(如p2p用户),还有那些下载使用破解软件的用户。有两个反钩子工具把门,可以从极大程度上阻止rootkit的感染。
总而言之,预防、检测、清除的过程是动态变化的, rootkit作者与反rootkit作者的斗争过程将是长期的,其技术上的表现就是“魔高一尺,道高一丈”。对对于普通用户而言,预防是最为关键的,如不要随意查看和下载不请自来的电子邮件及其附件就是一个好主意。
【51CTO.COM 独家特稿,转载请注明出处及作者!】
【相关文章】
| 第 1 页:rootkit的威胁 | 第 2 页:rootkit的类型 |
| 第 3 页:rootkit的检测 | 第 4 页:BlackLight |
| 第 5 页:RootkitRevealer | 第 6 页:微软恶意软件检测和清除工具 |
| 第 7 页:清除rootkit |
