Rootkit(也稱隱匿軟件[1])是指主要為隱藏其他程式进程軟體,可能是一種或以上軟體的組合;廣義而言,Rootkit也可視為一項技術。今天,Rootkit一词更多指偽裝成驱动程序载入到操作系统内核中的恶意软件,其代码在特权模式运行,能造成意外危险。Rootkit最初用於善意用途,但駭客後來也用Rootkit入侵和攻擊他人的電腦系統,電腦病毒間諜軟體等也常用Rootkit來隱藏蹤跡,大多數防毒軟體已將Rootkit歸類為有害的惡意軟體LinuxWindowsMac OS作業系統都有機會成為Rootkit的受害目標。

现代操作系统应用程序不能直接存取硬件,而是调用操作系统提供的接口来使用硬件,操作系统依赖内核空间来管理和调度这些程式。内核空间由进程管理(负责分配Cpu时间)、文件存取(把设备调配成文件系统,并提供一致的接口供上层程序调用)、安全控制(负责强制规定各进程的具体权限和单独的内存范围,避免各进程间起冲突)和内存管理(进程运行时负责分配、使用、释放和回收内存资源)四大部分组成。内核是种数据结构,Rootkit技术修改这些数据结构来隐藏其它程式的进程、文件、网络通讯和其它信息(比如注册表和可能因修改而生成的系统日志等)。例如,修改操作系统的EPROCESS链表结构可达到隐藏进程的效果,挂钩服务调用表可以隐藏文件和目录,挂钩中断描述符表则可监听键盘击键等。Rootkit至今仍然是发展中的技术领域。

歷史

Rootkit一詞最早出現在Unix系統上。系統入侵者為了取得系統管理員級的root權限,或者為了清除有系統紀錄的入侵痕跡,會重新組譯ps、netstat、w、passwd等軟體工具(術語稱為kit),這些軟體即稱作Rootkit。其後類似的入侵技術或概念也發展到其他作業系統,主要是隱藏檔案行程、系統紀錄的技術,以及攔截網絡封包鍵盤輸入的竊聽技術等,許多木馬程式都用了這些技術,也可視為一種Rootkit。

2005年的Sony BMG CD防拷醜聞英语Sony BMG copy protection rootkit scandal即因揭發Sony暗中用Rootkit技術來防止盜版,有侵害用戶私隱之嫌,並可能威脅用戶系統,引發軒然大波[2]。Rootkit一詞也從此事開始更廣為人知。

參考資料

  1. ^ rootkit - 英中 – Linguee词典. cn.Linguee.com. [2023-03-17] (中文). 
  2. ^ 索尼丑闻让反盗版者三思. 新浪网.