@Sophia
2年前 提问
1个回答

Rootkit病毒主要分为那两大类

在下炳尚
2年前

Rootkit病毒主要分为以下两大类:

  • 进程注入式Rootkit病毒:该类型病毒通常通过释放动态链接库(DLL)文件,并将它们注入到可执行文件及系统服务进程中运行,阻止操作系统及应用程序对被感染的文件进行访问来实现攻击;

  • 驱动级Rootkit病毒:在系统启动时Rootkit病毒以加载驱动程序的方式,先于杀毒软件被装入系统,得到合法的操作系统控制权。当杀毒软件通过系统API及NTAPI访问文件系统时进行监视,一但发现被Rootkit感染的文件时返回一个虚假的结果,从而阻止操作系统及应用程序对被感染的文件进行访问。

一个典型rootkit病毒包括以下程序:

  • 以太网嗅探器程序:主要用于获得网络上传输的用户名和密码等信息;

  • 特洛伊木马程序:模仿木马的功能,当计算机感染病毒后使用特洛伊木马的功能留下后门以进行下一步攻击;

  • 隐藏攻击者的目录和进程的程序:隐藏攻击者的一些攻击痕迹,防止这些痕迹被杀毒软件检测到,加强病毒的存活时间和隐藏性;

  • 日志清理程序:攻击者使用这些清理程序删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。