[資安小常識] 惡意程式 Rootkit 的認識及防範

作者:Vavrin Chen


 

圖一:常見 Rootkit 攻擊方式
(圖片出處:http://download.microsoft.com/download/D/2/C/D2C47748-0310-4D6F-AC72-3D298BE58108/Microsoft%20Malware%20Protection%20Center%20Threat%20Report%20Rootkits_English.pdf)
 

 

什麼是 Rootkit?

從字面上來看, root-kit 就是攻擊者偽裝成『根』目錄的使用者,它源自於 UNIX 系統,指『獲得電腦 root 權限的 kit (軟體工具組)』,故稱為 Rootkit, Rootkit 會改變作業系統中的一些設定,好讓攻擊者變成受害者電腦中的『系統管理者』,麻煩的是,Rootkit 這個惡意程式本身的設計,令防毒軟體要判定系統中有否存在 Rootkit 及哪些內容受到 Rootkit 的竄改變的相對困難。

常見的 Rootkit 破壞如圖一中所示,Rootkit 在核心層 (Kernel) 竄改了原本應該是『00000000』的資料,使得應用程式或使用者在接受檔案時,收到『11111111』的錯誤資料,而此種在核心層的 Rootkit 通常也比在應用層 (User mode) 的 Rootkit 更難偵測,目前偵測 Rootkit 程式的方法分成『特徵辨識』(signature-based)和『行為辨識』(behavior-based)兩大類。詳細 Rootkit 分類請參考: 維基百科- Rootkit (英文)

 

當您為電腦掃毒時偵測到有 Rootkit 的建議處理方式:

首先删掉這個被偵測到的檔案,並且再掃一次毒,若發現有很多被感染的檔案,則需要重新安裝您的作業系統才能完全解決 Rootkit 帶來的傷害,Rootkit 具有高感染力,因此建議您重新安裝作業系統之後要立刻把防毒軟體裝上去。 此外,若以前所保留的安裝檔 (如:setup.exe) 若沒有經過壓縮成 rar 或 zip,或燒錄在光碟中的話,一律不能使用,因為這些檔案可能含有已被感染的風險。

 

如果確認中毒,則有兩個好用的工具建議給您使用: Microsoft Diagnostics and Recovery Toolset (MS DaRT)Windows Defender Offline。其中,若您需要較為全方位的防護,則會推薦您使用 MS DaRT,因為它不只能修復 Rootkit,還能修復其它病毒及惡意程式,且 MS DaRT 內含離線式的 Windows Defender,因此 MS DaRT 可以離線開機修復系統,這樣一來 Rootkit 亦不會被啟動,使得 MS DaRT 能進入系統核心層修復。

了解 Rootkit 基本面和攻擊者的攻擊方式之後。重要的是,如何對 Rootkit 加以防範、避免威脅,建議您不妨試試本期資安小常識介紹的 MS DaRT 工具,做好系統的弱點評估及預防隔離,在了解 Rootkit 帶來的風險後,採取最佳措施保護自己!

 

 

 

參考資料