rootkits病毒的原理介紹以及解決辦法

2017-03-07 10:16  出處:其他  作者:佚名   責任編輯:wenjunhao 

  Rootkits病毒主要分為兩大類:

  第一種是進程注入式Rootkits,另一種是驅動級Rootkits。

  第一種Rootkits技術通常透過釋放動態鏈接庫(DLL)文件,並將它們注入到可執行文件及系統服務進程中運行,阻止作業系統及應用程式對被感染的文件進行訪問。

  第二種Rootkits技術比較複雜,在系統啟動時Rootkits病毒以加載驅動程式的方式,先於殺毒軟體被裝入系統,得到合法的作業系統控制權。當殺毒軟體透過系統API及NTAPI訪問文件系統時進行監視,一但發現被Rootkits感染的文件時返回一個虛假的結果,從而阻止作業系統及應用程式對被感染的文件進行訪問。

  第一種Rootkits病毒較好處理,透過使用殺毒軟體可以輕鬆清除,而且不會造成任何嚴重的後果。

  第二種Rootkits病毒,由於其以驅動程式裝入系統被認為是驅動的一部分,現階段還沒有一個較好的解決辦法。少數殺毒軟體在處理使用此類 Rootkits病毒時甚至會出現漏查漏殺的現象,大多數殺毒軟體會發現此類病毒,但往往清除失敗,某些筆者在實際工作中遇到過幾次問題,現加以總結把解決方法與大家分享:

  第一個例子出現的現象是作業系統能夠正常運行,但殺毒軟體無法啟動,在沒有任何可疑前後台進程的狀況下,CPU佔用率很高,毫無疑問系統被病毒感染,由於系統本身無法清除病毒,只好把該機器硬碟摘下,掛入另一沒有被病毒感染的作業系統以從盤方式進行殺毒,由於病毒盤上所有文件在乾淨作業系統中只作為普通文件處理,病毒很快就被清除。問題解決。

  第二個例子情況更加嚴重一些,系統在進入桌面後即出現藍屏,詢問操作人員後得知,前一天殺毒軟體報告病毒,殺毒重啟後系統即出現桌面藍屏,排除因為硬體及程式問題後,判斷是rootkits病毒破壞作業系統中某啟動文件引起,掛從盤殺毒後果然發現病毒,但作為作業系統主盤引導,依然出現進入桌面即藍屏的現象,根據經驗,考慮到rootkits病毒可能首先破壞殺毒軟體,而且原殺毒軟體已經無法啟動,於是依舊掛從盤利用其他作業系統強行刪除原系統的殺毒軟體文件,再重新裝入原系統,問題解決,重新裝載殺毒軟體,查殺後無病毒。

  根據上面兩個例子,筆者總結出的特點是Rootkits病毒不僅偽裝性強,徹底清除困難,而且對作業系統會造成一定程度的破壞。