五、借rootkit隐藏自己

　　正如Lovet所指出的那样，一个好的牧羊者应该保持其羊群的健康；一个僵尸网络控制者所拥有的僵尸计算机越多，他就可以赚取更多的金钱。鉴于此点，病毒使用启动注册表键和内核驱动加载器来保证重启后自己仍然被运行。另外，它们还尽量保持隐蔽，因为它们不希望被感染的计算机重装操作系统。Lovet表示，“以上要求导致了今天大部分病毒嵌入在rootkit模块中，以躲避用户和反病毒软件的眼睛。”

    
    目前有两类相关的rootkit：内核级rootkit和用户级rootkit。前者直接将自己附着在操作系统内核中，以避免被任务管理器所列出，而后者一般是直接挂钩（hook）在系统API上。在任务管理器类应用程序中可以发现这类rootkit。据Lovet表示，恶意软件分发者一般通过以下四步来让病毒躲过扫描。

　　1、修改病毒代码，并使用一个‘exe’封装程序对其重新封装，这会创建一个完全不同的二进制映像。

　　2、提交该文件到一个公开或私有的躲避所有反病毒软件扫描的服务中。

　　3、如果该文件被某些反病毒产品所检测到，那么重返第1步。

　　4、分发。　　

上一页  [1] [2] [3] [4] [5]