Rootkit ,这个词并没有一个权威的定义。就我的理解,是这么一类工具软件,用于修改操作系统,以改变操作系统的表现行为。而这种改变,往往是不是操作系统设计时所期望的。举个例子,修改操作系统的进程列表,以便特定的进程无法被显示,就是一个典型的Rootkit的目的。
历史
Rootkit这个术语来自于Unix系统。最初,在Unix系统上, ls,ps,netstat等命令,大家从来就没有怀疑过结果的可靠性。例如,用last就可以知道最近的login历史,那么如果那位同志非法登陆了你的机器,就可以轻易监测到。不过,hacker的技术是日新月异,很快,就出现了工具可以隐藏login历史,接下来,一批工具可以修改ls,ps等等命令的结果。这些工具,当时被叫做trojan horses。后来,这些各类trojan horses工具被绑定在一起成了一个工具包(kit),就成为了Rootkit。最早的一个版本是出现在SunOS 4上。
现状
既然Rootkit出现已经不值一天两天,为什么说是一个新的威胁呢?这是因为随着互联网的普及,Windows系统上出现了越来越多的virus,spyware,worm。而最新的趋势是这些软件和Windows上的Rootkit绑定在一起。试想一想,如果一个spyware将自己的进程和registry信息用Rootkit给隐藏起来,普通用户可能就无法发现还有这么一个软件在运行。而且,各种anti-spyware软件恐怕也就不那么有效了。如果连系统中有什么在运行都无法确定,检测和清除有从何谈起呢?
Windows系统上的Rootkit分为User mode和Kernel mode两种,取决于它是采用何种方式修改操作系统的。
举个例子,对于一个典型的WIN32 API调用,例如CreateFile
User Mode:
Application --> Kernel32.dll --> NT.dll
接着通过调用 INT 2EH进入
Kernel Mode:
--> KiServiceTable --> NTExecutives
在这一调用系列中,Rootkit可以修改任何一处,最终目的都是一样的,控制特定的系统调用的返回结果。例如,如果修改了FindFirstFile/FindNextFile调用的结果,那么不管你用DIR命令,还是Explorer, 都看不到Rootkit想要隐藏的文件。
以往,不管是User Mode的Rootkit,还是Kernel Mode的Rootkit,主要是hook/intercept API调用。最近的发展是,Kernel Mode的Rootkit直接修改关键的Kernel Mode的数据结构,例如把自己的PCB从系统的活动进程表中直接删除。这种Rootkit,要检测起来是非常难办的。
介绍了Rootkit的工作原理,我们看看Rootkit主要用来隐藏什么系统资源:
运行进程
服务
TCP/IP端口
文件
注册信息Registry
用户帐号
其中最常见的是运行进程,文件,和Registry。
介绍完Rootkit是什么,那自然而然的一个问题是:如何检测Rootkit?
最保险的检测Rootkit的办法是Offline OS检测。举个例子,系统自身启动,列出所有的文件,registry项,等等。然后用winPE从CD启动,再列出所有的文件,registry项。对比两个列表。在正常情况下应该是一样的。如果出现不一样的地方,就可以发现那些文件在用自身系统启动的情况下看不到。对这些文件可要注意了。
这个办法的例子是Strider/Ghostbuster,MS Research开发的。
另一种更方便的检测方法是API副作用检测。大家知道,Rootkit都或多或少的修改系统调用。那么,先通过正常的高层win32系统调用来列出系统的文件,进程,registry等等,然后再通过最底层的方式列出系统的文件,进程等等。对比两个列表,如果有不同的地方就要注意了。
这个办法的例子是RootkitRevealer,Sysinternals开发的。有兴趣的可以从Sysinternals上下载。最近闹得沸沸扬扬的Sony的Rootkit就是用它发现的。这个办法使用起来要更方便一些,但不如第一个办法保险。
至于删除Rootkit,可就比较麻烦了。User Mode的Rootkit还好办一些。Kernal Mode就难了。 如果有官方的工具和信息的话,就直接使用。如果没有的话,那只有重新安装系统才能真正确保删除Rootkit。