Rootkit
維基百科,自由的 encyclopedia
Rootkit(也稱隱匿軟件[1])是指主要為隱藏其他程式行程的軟件,可能是一種或以上軟件的組合;廣義而言,Rootkit也可視為一項技術。今天,Rootkit一詞更多指偽裝成驅動程式載入到作業系統內核中的惡意軟件,其代碼在特權模式執行,能造成意外危險。Rootkit最初用於善意用途,但黑客後來也用Rootkit入侵和攻擊他人的電腦系統,電腦病毒、間諜軟件等也常用Rootkit來隱藏蹤跡,大多數防毒軟件已將Rootkit歸類為有害的惡意軟件。Linux、Windows、Mac OS等作業系統都有機會成為Rootkit的受害目標。
此條目翻譯品質不佳。 (2024年1月26日) |
現代作業系統的應用程式不能直接存取硬件,而是呼叫作業系統提供的介面來使用硬件,作業系統依賴內核空間來管理和排程這些程式。內核空間由行程管理(負責分配Cpu時間)、檔案存取(把裝置調配成檔案系統,並提供一致的介面供上層程式呼叫)、安全控制(負責強制規定各行程的具體權限和單獨的記憶體範圍,避免各行程間起衝突)和記憶體管理(行程執行時負責分配、使用、釋放和回收記憶體資源)四大部分組成。內核是種數據結構,Rootkit技術修改這些數據結構來隱藏其它程式的行程、檔案、網絡通訊和其它資訊(比如登錄檔和可能因修改而生成的系統紀錄檔等)。例如,修改作業系統的EPROCESS鏈結串列結構可達到隱藏行程的效果,掛鈎服務呼叫表可以隱藏檔案和目錄,掛鈎中斷描述符表則可監聽鍵盤擊鍵等。Rootkit至今仍然是發展中的技術領域。