[技术详解]瑞星“碎甲(Anti-Rootkits)”技术说明
来源:瑞星公司 时间:2006-11-14 09:11:54
一、什么是Rootkits?
Rootkits最早是一组用于UNIX操作系统的工具集,黑客使用它们隐藏入侵活动的痕迹。
目前,在Windows操作系统上也已经出现了大量的Rootkits工具及使用Rootkits技术编写的软件。这些Rootkits像就像一层铠甲,将自身及指定的文件保护起来,使其它软件无法发现、修改或删除这些文件。
打个比喻,带有Rootkits的流氓软件和病毒就像练就了“金钟罩”、“铁布杉”,不除这种保护伞,各种杀毒软件都无法对其进行彻底清除。
二、Rootkits的类型及常见处理方式
Rootkits主要分为两大类:一种是进程注入式Rootkits,另一种是驱动级Rootkits。
第一种Rootkits技术通常通过释放动态链接库(DLL)文件,并将它们注入到其它软件及系统进程中运行,通过HOOK方式对消息进行拦截,阻止Windows及应用程序对被保护的文件进行访问。
第二种Rootkits技术较为复杂,其通过在Windows启动时加载Rootkits驱动程序,获取对Windows的控制权。当程序(Windows及杀毒软件等)通过系统API及NTAPI访问文件系统时进行监视,一但发现程序访问被Rootkits保护的文件时返回一个虚假的结果,从而达到隐藏或锁定文件的目的。
进程注入式Rootkits较好处理,通过使用杀毒软件的开机扫描(又名Startup Scan、 BootScan)功能都可以轻松清除。然而,对于第二种通过驱动级的Rootkits,由于其加载的优先级别较高,现阶段还没有一个较好的解决办法。大多数杀毒软件在处理使用此类Rootkits技术的病毒时均出现漏查漏杀,清除失败的现象。
目前世界上仅有少数几家反病毒厂商,能够处理少量的驱动级Rootkits,而且当一个新的Rootkits病毒出现时,往往需要花费很长时间才能够处理。
三、瑞星“碎甲(Anti-Rootkits)”技术简介
瑞星公司经过对数百个驱动级Rootkits工具、使用该技术的病毒,流氓软件以及Windows驱动加载方式分析,并进行大量试验后,最终找到了一种高效的通用解决方法,并将其命名为“碎甲(Anti-Rootkits)”技术。
瑞星“碎甲”技术通过对Windows驱动程序加载点进行拦截,当发现Rootkits时自动使其保护功能失效,就象穿甲弹击碎盔甲一样。目前,此技术可以有效对付600余种Rootkits,并且当有新的Rootkits出现时能够迅速地进行处理。
Rootkits及瑞星“碎甲”技术示意图
瑞星“碎甲(Anti-Rootkits)”技术现已全面应用于瑞星卡卡安全上网助手3.0当中。用户安装瑞星卡卡3.0后,病毒、流氓软件等身上的铠甲将被击碎,赤裸裸地曝露在杀毒软件面前。通过使用瑞星卡卡3.0,其他的不具备清除Rootkits能力的杀毒软件,均能够轻松删除带有Rootkits保护的病毒。
RootKits和病毒处理的功能表
产品名称
功能
| 瑞星卡卡上网安全助手3.0
| 杀毒软件
|
Anti-RootKits
| 有
| 无
|
清除病毒
| 可清除部分流行病毒及未知病毒
| 有
|
清除带有Rootkits的病毒
| 未安装
| 无法清除
|
已安装
| 可以清除
|
