rootkits病毒的原理介紹以及解決辦法

　　Rootkits病毒主要分為兩大類：

dll修復(fù)工具

• 軟件版本：1.0 正式版
• 軟件大�。�501KB
• 軟件授權(quán)：免費(fèi)
• 適用平臺(tái)： Win2000 WinXP Win2003 Vista Win8 Win7
• 下載地址：//dl.pconline.com.cn/download/360149.html

立即下載

　　第一種是進(jìn)程注入式Rootkits，另一種是驅(qū)動(dòng)級(jí)Rootkits。

　　第一種Rootkits技術(shù)通常通過(guò)釋放動(dòng)態(tài)鏈接庫(kù)(DLL)文件，并將它們注入到可執(zhí)行文件及系統(tǒng)服務(wù)進(jìn)程中運(yùn)行，阻止操作系統(tǒng)及應(yīng)用程序?qū)Ρ桓腥镜奈募�進(jìn)行訪問(wèn)。

　　第二種Rootkits技術(shù)比較復(fù)雜，在系統(tǒng)啟動(dòng)時(shí)Rootkits病毒以加載驅(qū)動(dòng)程序的方式，先于殺毒軟件被裝入系統(tǒng)，得到合法的操作系統(tǒng)控制權(quán)。當(dāng)殺毒軟件通過(guò)系統(tǒng)API及NTAPI訪問(wèn)文件系統(tǒng)時(shí)進(jìn)行監(jiān)視，一但發(fā)現(xiàn)被Rootkits感染的文件時(shí)返回一個(gè)虛假的結(jié)果，從而阻止操作系統(tǒng)及應(yīng)用程序?qū)Ρ桓腥镜奈募�進(jìn)行訪問(wèn)。

　　第一種Rootkits病毒較好處理，通過(guò)使用殺毒軟件可以輕松清除，而且不會(huì)造成任何嚴(yán)重的后果。

　　第二種Rootkits病毒，由于其以驅(qū)動(dòng)程序裝入系統(tǒng)被認(rèn)為是驅(qū)動(dòng)的一部分，現(xiàn)階段還沒(méi)有一個(gè)較好的解決辦法。少數(shù)殺毒軟件在處理使用此類 Rootkits病毒時(shí)甚至?xí)�出現(xiàn)漏查漏殺的現(xiàn)象，大多數(shù)殺毒軟件會(huì)發(fā)現(xiàn)此類病毒，但往往清除失敗，某些筆者在實(shí)際工作中遇到過(guò)幾次問(wèn)題，現(xiàn)加以總結(jié)把解決方法與大家分享：

　　第一個(gè)例子出現(xiàn)的現(xiàn)象是操作系統(tǒng)能夠正常運(yùn)行，但殺毒軟件無(wú)法啟動(dòng)，在沒(méi)有任何可疑前后臺(tái)進(jìn)程的狀況下，CPU占用率很高，毫無(wú)疑問(wèn)系統(tǒng)被病毒感染，由于系統(tǒng)本身無(wú)法清除病毒，只好把該機(jī)器硬盤摘下，掛入另一沒(méi)有被病毒感染的操作系統(tǒng)以從盤方式進(jìn)行殺毒，由于病毒盤上所有文件在干凈操作系統(tǒng)中只作為普通文件處理，病毒很快就被清除。問(wèn)題解決。

　　第二個(gè)例子情況更加嚴(yán)重一些，系統(tǒng)在進(jìn)入桌面后即出現(xiàn)藍(lán)屏，詢問(wèn)操作人員后得知，前一天殺毒軟件報(bào)告病毒，殺毒重啟后系統(tǒng)即出現(xiàn)桌面藍(lán)屏，排除因?yàn)橛布�及程序�?wèn)題后，判斷是rootkits病毒破壞操作系統(tǒng)中某啟動(dòng)文件引起，掛從盤殺毒后果然發(fā)現(xiàn)病毒，但作為操作系統(tǒng)主盤引導(dǎo)，依然出現(xiàn)進(jìn)入桌面即藍(lán)屏的現(xiàn)象，根據(jù)經(jīng)驗(yàn)，考慮到rootkits病毒可能首先破壞殺毒軟件，而且原殺毒軟件已經(jīng)無(wú)法啟動(dòng)，于是依舊掛從盤利用其他操作系統(tǒng)強(qiáng)行刪除原系統(tǒng)的殺毒軟件文件，再重新裝入原系統(tǒng)，問(wèn)題解決，重新裝載殺毒軟件，查殺后無(wú)病毒。

　　根據(jù)上面兩個(gè)例子，筆者總結(jié)出的特點(diǎn)是Rootkits病毒不僅偽裝性強(qiáng)，徹底清除困難，而且對(duì)操作系統(tǒng)會(huì)造成一定程度的破壞。