引:也许,您早已经听说过Rootkit工具的大名,也许您还是第一次听说,不过这并不是问题的关键。其实,Rootkit工具多数被恶意软件创建者所使用,主要用来隐藏恶意软件,以躲避反病毒软件和反间谍软件的跟踪和检测。
也许,您早已经听说过Rootkit工具的大名,也许您还是第一次听说,不过这并不是问题的关键。其实,Rootkit工具多数被恶意软件创建者所使用,主要用来隐藏恶意软件,以躲避反病毒软件和反间谍软件的跟踪和检测。也就是说,Rootkit工具通常被用来隐藏危险的病毒、特洛伊木马和间谍软件。由于有了Rootkit工具的存在,怎么检测恶意软件的存在变的相当的重要。
而到目前为止,还只有为数不多的Rootkit检测工具引起了的大家的注意:由sysinternals.com提供的免费RootkitRevealer、F-Secure公司的BlackLight(这也是一免费的产品,但是要到2006年9月1日才实行免费)。但是,这些都将成为过去,随着Rootkit检测工具的作用显得越来越重要,开发者也将目光瞄准了这一市场。近段时间以来,很多开发者都在潜心研究一些功能强大,且花费比较少,或完全免费的Rootkit检测工具。下面我们将一一介绍这些新产品:
其中有一款被命名为IceSword的Rootkit检测工具,是由中国的一名程序员编写的,该作者并不会说英语。很多Rootkit工具的创建者都表示这款软件是一款非常不错的产品,被认为是Rootkit最强硬的扫描器。事实上,Hacker Defender的创建者目前正把他们的目标瞄准了IceSword(Hacker Defender是Rootkit工具的一种,且广泛地被网络罪犯所使用)。但到目前为止,这些创建者并没有找到攻破IceSword的方法。目前,这种软件的国际版本已经可以提供下载了。(注:由于IceSword被压缩成RAR格式,所以在使用该软件之前,请务必下载一个WinRAR压缩软件。)
另外一种Rootkit检测工具是GMER(www.gmer.net),它可以检测到很多种顽强的Rootkit,这是一款免费的软件工具,是由波兰的一家公司所提供的。据该公司表示,GMER在很多程度上结合了RootkitRevealer和另外一款Sysinternals提供的Rootkit检测工具——Process Explorer。Process Explorer是一款增强型的任务管理器,您可以使用它方便地管理您的程序进程,能强行关闭任何程序,其中包括系统级别的不允许随便终止的“顽固”进程。
除了以上两款Rootkit检测工具以外,我们还将向大家介绍另外一款产品,该产品是Hook Explorer,是由iDefense公司提供。IDefense表示该软件可以检测到隐藏在合法程序中的文件。如果有一个文件隐藏在Windows程序winlogon.exe中,可能会造成一定的危害,例如,可以记录您的键击,特别是当您输入您的系统密码时。如果您想删除掉winlogon程序,就必须重新安装操作系统。
由于Rootkit越来越受到重视,所以不仅仅是安全厂商,一些安全专家也加入到这一研究领域当中。安全研究员Joanna Rutkowska就是其中的一员,她创建了一个非常不错的资料库——命令行扫描程序,但是该程序不携带图形界面,主要用来寻找被Rootkit隐藏的文档,或文件夹。
虽说这些产品和BlackLight相比,在性能上,或是特性上都存在一定的差距。但是,有一点是值得我们欣慰的,因为这些Rootkit检测工具的出现,让我们知道这个世界上还是有很多的研究人员在关注这一领域。
|
