Rootkit是指其主要功能為隱藏其他程式進(jìn)程的軟件，可能是一個或一個以上的軟件組合；廣義而言，Rootkit也可視為一項技術(shù)。那么Rootkit究竟是什么呢？它又擁有何種功能呢？在后邊的文章里，會為大家一一解釋。

rootkit是什么

在網(wǎng)絡(luò)安全中經(jīng)常會遇到rootkit，NSA安全和入侵檢測術(shù)語字典( NSA Glossary of Terms Used in Security and Intrusion Detection)對rootkit的定義如下：A hacker security tool that captures passwords and message traffic to and from a computer. A collection of tools that allows a hacker to provide a backdoor into a system, collect information on other systems on the network,mask the fact that the system is compromised, and much more. Rootkit is a classic example of Trojan Horse software. Rootkit is available for a wide range of operating systems.

好多人有一個誤解，他們認(rèn)為rootkit是用作獲得系統(tǒng)root訪問權(quán)限的工具。實際上，rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權(quán)限的工具。通常，攻擊者通過遠(yuǎn)程攻擊獲得root訪問權(quán)限，或者首先密碼猜測或者密碼強(qiáng)制破譯的方式獲得系統(tǒng)的訪問權(quán)限。進(jìn)入系統(tǒng)后，如果他還沒有獲得root權(quán)限，再通過某些安全漏洞獲得系統(tǒng)的root權(quán)限。接著，攻擊者會在侵入的主機(jī)中安裝rootkit，然后他將經(jīng)常通過rootkit的后門檢查系統(tǒng)是否有其他的用戶登錄，如果只有自己，攻擊者就開始著手清理日志中的有關(guān)信息。通過rootkit的嗅探器獲得其它系統(tǒng)的用戶和密碼之后，攻擊者就會利用這些信息侵入其它的系統(tǒng)。

rootkit的功能

最早Rootkit用于善意用途，但后來Rootkit也被黑客用在入侵和攻擊他人的電腦系統(tǒng)上，電腦病毒、間諜軟件等也常使用Rootkit來隱藏蹤跡，因此Rootkit已被大多數(shù)的防毒軟件歸類為具危害性的惡意軟件。Linux、Windows、Mac OS等操作系統(tǒng)都有機(jī)會成為Rootkit的受害目標(biāo)。 Rootkit出現(xiàn)于二十世紀(jì)90年代初，在1994年2月的一篇安全咨詢報告中首先使用了rootkit這個名詞。這篇安全咨詢就是CERT-CC的CA-1994-01，題目是Ongoing Network Monitoring Attacks，最新的修訂時間是1997年9月19日。從出現(xiàn)至今，rootkit的技術(shù)發(fā)展非常迅速，應(yīng)用越來越廣泛，檢測難度也越來越大。

Rootkit是一種奇特的程序，它具有隱身功能：無論靜止時（作為文件存在），還是活動時，（作為進(jìn)程存在），都不會被察覺。換句話說，這種程序可能一直存在于我們的計算機(jī)中，但我們卻渾然不知，這一功能正是許多人夢寐以求的——不論是計算機(jī)黑客，還是計算機(jī)取證人員。黑客可以在入侵后置入Rootkit，秘密地窺探敏感信息，或等待時機(jī)，伺機(jī)而動；取證人員也可以利用Rootkit實時監(jiān)控嫌疑人員的不法行為，它不僅能搜集證據(jù)，還有利于及時采取行動！