目录
前言
老师期末不知道留什么,我这么努力做笔记,应该可以及格。可是最近开始掉头发了,我明明都不努力的,就怕掉头发,没想到还是会这样,我不能接受。
一、RootKit是什么?
rootkit是什么?
就很简单,root和kit
root,汉语意思是根,是计算机术语,也被称为根用户
是Unix以及Android和iOS移动设备系统中唯一的超级用户
超级的地方在于
可以对根目录进行读写与操作
因此而得名
kit则是装备,工具箱,套装的意思
由于unix主机系统管理员账号为root账号,该账号拥有最小的安全限制,完全控制主机并拥有了管理员权限被称为“root”了这台电脑。
然而能够“root”一台主机并不意味着能持续地控制它,因为管理员完全可能发现了主机遭受入侵并采取清理措施。因此Rootkit的初始含义就在于“能维持root权限的一套工具”。
RootKit能够同时针对对操作系统(包括微内核操作系统)的用户模式和内核模式进行程序或者指令修改,达到通过隐藏程序执行或者吸引对象的变化来规避系统正常的检测机制,绕开安全软件监控与躲避取证手段,实现远程渗透,尝试隐藏,长期潜伏并对整个系统进行控制的攻击技术。
与传统的恶意代码不同,RootKit的攻击灵活性更大,破坏力更强,被检测的难度也更大,当然技术力要求也更高。
RootKit的隐藏性要比传统的木马更为隐秘,木马程序通过远程的Shell,远程控制GUI等方式对被攻击系统实施远程控制,并提供可以绕过正常的安全检测机制的访问通道,并且可以在系统重启后实施自动启动。
而RootKit能够将自己伪装为系统中的一个合法程序(木马的特点),使得攻击者可以按照自己的方式取访问系统(后门的特征),修改或者替换硬件(如BIOS,显卡等)中的代码或者系统中的正常程序而将自己隐藏起来(高级计算机病毒的特征)
二、用户名模式RootKit和内核模式RootKit
自底向上分层模型的特点时通过层间接口技术将下层的差异性利用统一的服务模式(协议或者标准)封装起来,下层为上层提供一种抽象一致的按需服务。然而,这种分成模型为攻击者提供了可用利用的的机会,攻击者提供篡改下层的组件结构或者劫持并且替换下层组件的输出值,达到欺骗上层调用并且隐秘自身的目的。
目前广泛使用的windws,UNIX/Linux操作系统都采用分层模型,Rootkit可以在操作系统的用户模式和内核模式。
攻击者可以用事先编写的替换程序覆盖有关访问计算机的程序和服务,替换系统中的各种信息查看工具 从而向用户隐瞒攻击者在被控系统中的文件,进程和网络使用情况,更改程序的运行时间,删除或者修改系统日志,解开工具包并且自动安装脚本程序。