蔡恩泽

有道是：卧榻之侧岂容他人鼾睡，然而就有一种人，他的床边有人在鼾睡，他却浑然不知。而这个睡在别人家床旁打呼的人就是电脑系统攻击者，他们之所以能偷偷地钻进别人家的房间，并能逃脱主人的监视而安然入睡，靠的是“Rootkit这一独门暗器。

间谍软件Rootkit是攻击者侵入别人电脑后用来隐藏自己的踪迹和保留root访问权限的工具。

Rootkit基本上都是由几个独立的程序组成的，一个典型的Rootkit包括：以太网嗅探器程序，用于获得网络上传输的用户名和密码等信息；特洛伊木马程序，例如：inetd或者login，为攻击者提供后门；隐藏攻击者的目录和进程的程序，例如：ps、netstat、rshd和ls等；

可能还包括一些日志清理工具，例如：zap、zap2或者z2，攻击者使用这些清理工具删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目；一些复杂的Rootkit还可以向攻击者提供telnet、shell和Tenger等服务，还包括一些用来清理/vat/log和/var/adm目录中其它文件的一些脚本。

通常，攻击者通过密码猜测或密码强制破译的方式，利用远程攻击获得别人电脑系统的root访问权限。进入系统后，如果他还没有获得root权限，再通过某些安全漏洞获得系统的root权限。接着，攻击者会在侵入的主机中安装Rootkit，然后他将经常通过Rootkit的后门检查系统是否有其他的用户登录，如果没有异常现象，攻击者就开始着手清理日志中的有关信息。通过Rootkit的嗅探器获得其它系统的用户和密码之后，攻击者就会利用这些信息侵入其它系统。

Rootkit是一种奇特的程序，它具有隐身功能，无论静止时作为文件存在，还是活动时作为进程存在，都不会被察觉。

Rootkit的目的在于隐藏自己以及其他软件不被发现。它可以通过阻止用户识别和删除攻击者的软件来达到这个目的。Rootkit几乎可以隐藏任何软件，包括文件服务器、键盘记录器、Botnet和Remailer。许多Rootkit甚至可以隐藏大型的文件集合并允许攻击者在你的计算机上保存许多文件，而你无法看到这些文件。这就好比有人占用你的房间堆放杂物，你却蒙在鼓里一样。

这种程序可能一直存在于我们的计算机中，但你却毫不觉察，直到某一天其它系统的管理员和你联系，或者嗅探器的日志把磁盘全部填满，你才感觉到已经大祸临头了。

这一功能正是许多人梦寐以求的。黑客可以在入侵后置入Rootkit，秘密地窥探敏感信息，或伺机而动；取证人员可以利用Rootkit实时监控嫌疑人员的不法行为，它不仅能搜集证据，还有利于及时采取行动；而间谍则通过远程控制程序，紧盯着他们需要的情报。

Rootkit是一种特殊类型的恶意软件。Rootkit之所以特殊是因为你根本不知道它们在做什么事情。Rootkit基本上是无法检测到的，而且几乎不可能把它们删除。

虽然检测工具在不断增多，但是恶意软件的开发者也在不断寻找新的途径来掩盖他们的踪迹，Rootkit也在不断更新，呈以下发展趋势：

其一，Rootkit不仅可以通过木马的形式进行传播，更将借助恶意软件的形式传播。未来的Rootkit的发展趋势是与恶意软件越来越多地结合，或者将自己隐藏于恶意软件之中。这种隐藏技术的最严重后果便是Rootkit不但能够轻易地将僵尸隐藏于系统的“视线”之外，还可以避开检测Rootkit的最后一道防线——网络检测。

其二，嵌入式Windows Rootkit成为主流。今天我们所看到的许多Rootkit活动都是针对Windows平台的。而据统计，近年来71％的Rootkit也是针对Windows的，针对Linux的几乎没有，这也是未来Rootkit发展趋势。

其三，在合法和非法的软件中都发现Rootkit攻击。五花八门的盗窃技术几乎能够把他们传播到每个已知的恶意软件中。根据美国网络联盟旗下反病毒紧急响应组的研究，盗窃技术的攻击形式已经覆盖各种软件分发形式，许多著名的Rootkit证明了这一点。比如BackDoor-BAC通过垃圾邮件、木马下载和直接爆发进行分发；HackerDefendcr通常通过垃圾邮件、BOT、直接爆发和P2P的方式进行分发；还有一些Rootkit通过群发邮件蠕虫进行下载，并创建复杂的混合攻击。

作为黑客们攻击目标的利器，Rootkit正在不为人知的黑暗世界，迅速雄起，它也在很大程度上推动着高科技犯罪的不断演进，必须引起我们的重视。