解析rootkits病毒以及解決辦法

解析rootkits病毒以及解決辦法

　　什么是Rootkits?

　　Rootkits最早是一組用于UNIX操作系統的工具集，黑客使用它們隱藏入侵活 動的痕跡，它能在操作系統中隱藏惡意程序。這些程序在植入系統后，rootkits 會將它們 隱藏起來，它能隱藏任何惡意程序過程、文件夾、注冊碼。

　　Rootkits病毒主要分為兩大類：

　　一種是進程注入式Rootkits，另一種是驅動級Rootkits。

　　第一種Rootkits技術通常通過釋放動態鏈接庫(DLL)文件，并將它們注入到可執行文件及系統服務進程中運行，阻止操作系統及應用程序對被感染的文件進行訪問。

　　這種Rootkits病毒較好處理，通過使用殺毒軟件可以輕松清除，而且不會造成任何嚴重的后果。

　　第二種Rootkits技術比較復雜，在系統啟動時Rootkits病毒以加載驅動程序的方式，先于殺毒軟件被裝入系統，得到合法的操作系統控制權。當殺毒軟件通過系統API及NTAPI訪問文件系統時進行監視，一但發現被Rootkits感染的文件時返回一個虛假的結果，從而阻止操作系統及應用程序對被感染的文件進行訪問。

　　該Rootkits病毒，由于其以驅動程序裝入系統被認為是驅動的一部分，現階段還沒有一個較好的解決辦法。少數殺毒軟件在處理使用此類Rootkits病毒時甚至會出現漏查漏殺的現象，大多數殺毒軟件會發現此類病毒，但往往清除失敗，某些筆者在實際工作中遇到過幾次問題，現加以總結把解決方法與大家分享：

　　第一個例子出現的現象是操作系統能夠正常運行，但殺毒軟件無法啟動，在沒有任何可疑前后臺進程的狀況下，CPU占用率很高，毫無疑問系統被病毒感染，由于系統本身無法清除病毒，只好把該機器硬盤摘下，掛入另一沒有被病毒感染的操作系統以從盤方式進行殺毒，由于病毒盤上所有文件在干凈操作系統中只作為普通文件處理，病毒很快就被清除。問題解決。

　　第二個例子情況更加嚴重一些，系統在進入桌面后即出現藍屏，詢問操作人員后得知，前一天殺毒軟件報告病毒，殺毒重啟后系統即出現桌面藍屏，排除因為硬件及程序問題后，判斷是rootkits病毒破壞操作系統中某啟動文件引起，掛從盤殺毒后果然發現病毒，但作為操作系統主盤引導，依然出現進入桌面即藍屏的現象，根據經驗，考慮到rootkits病毒可能首先破壞殺毒軟件，而且原殺毒軟件已經無法啟動，于是依舊掛從盤利用其他操作系統強行刪除原系統的殺毒軟件文件，再重新裝入原系統，問題解決，重新裝載殺毒軟件，查殺后無病毒。