菜鳥出招，降服RootKit隱形木馬

劉景云

RootKit木馬俗稱驅(qū)動(dòng)木馬，和一般的木馬不同，RootKit運(yùn)行于Ring0級(jí)別，具有極強(qiáng)的隱身性。該類木馬不僅會(huì)隱藏自身文件，還能將諸如進(jìn)程、注冊(cè)表項(xiàng)目、端口等痕跡信息全部隱藏起來，導(dǎo)致殺軟和防火墻無法發(fā)現(xiàn)其行蹤。實(shí)際上，普通的安全軟件及時(shí)發(fā)現(xiàn)也無法清理，因?yàn)楦菊也坏皆撃抉R的相關(guān)文件。如果黑客將其和免殺性木馬結(jié)合起來，破壞威力無疑是巨大的。聽起來RootKIt木馬似乎很可怕，讓菜鳥們心驚不已。其實(shí)菜鳥朋友大可不必慌亂，只要采取對(duì)應(yīng)的手段，同樣可以讓RootKit木馬束手就擒！

請(qǐng)出超級(jí)巡警，讓RootKit木馬現(xiàn)原形

超級(jí)巡警是一款功能強(qiáng)悍的安全工具，可以輕松讓狡猾的RootKit木馬現(xiàn)出原形。例如，當(dāng)某款RootKit木馬侵入本機(jī)后，其運(yùn)行文件、非法開啟的端口、創(chuàng)建的服務(wù)均處于隱藏狀態(tài)，使用殺軟等常規(guī)工具無法發(fā)現(xiàn)其蹤跡。不過，在超級(jí)巡警面前，其狐貍尾巴就露出來了。運(yùn)行超級(jí)巡警工具箱，在其主界面（如圖1）的“進(jìn)程管理”面板中顯示當(dāng)前所有的進(jìn)程信息，其中以紅色顯示的就是處于隱身狀態(tài)的可疑進(jìn)程，可以看到某RootKit木馬進(jìn)程赫然在列，該進(jìn)程在任務(wù)管理器中是不會(huì)顯示的。在該進(jìn)程的右鍵菜單上點(diǎn)擊“中止當(dāng)前進(jìn)程”項(xiàng)，就可以將其強(qiáng)制關(guān)閉。

不過為了更好地?cái)r截該木馬，最好在其右鍵菜單上點(diǎn)擊“禁止進(jìn)程創(chuàng)建”項(xiàng)，這樣只要超級(jí)巡警為您“站崗”，該RootKit病毒就無法繼續(xù)猖狂。在“服務(wù)管理”面板中顯示所有服務(wù)項(xiàng)目，其中以黃色顯示的服務(wù)為可疑服務(wù)，從中找出和RootKit木馬關(guān)聯(lián)的服務(wù)項(xiàng)目，在其上點(diǎn)擊右鍵，在彈出菜單點(diǎn)擊“刪除服務(wù)”、“刪除服務(wù)和映像文件”等項(xiàng)目，將其停止并刪除。

按照同樣方法，在“網(wǎng)絡(luò)管理”、“內(nèi)核管理”、“擴(kuò)展功能”等面板中，可以將被RootKit病毒隱藏的端口、文件、注冊(cè)表以及被掛鉤的函數(shù)全部顯示出來，您可以根據(jù)情況進(jìn)行關(guān)停刪除等操作。當(dāng)然，如果您想簡(jiǎn)單快捷地清除RootKit木馬，可以運(yùn)行卡巴斯基提供的TDSSkiller這款專門對(duì)付RootKit的工具，在其主界面（如圖2）中點(diǎn)擊“Start scan”按鈕，可以檢測(cè)并清除RootKit木馬進(jìn)程、服務(wù)、文件等內(nèi)容，讓其無法危害您的系統(tǒng)。

亮出照妖鏡，徹底曝光RootKit木馬

超級(jí)巡警是一款國產(chǎn)安全工具，操作起來很容易。實(shí)際上，還有很多國外的安全軟件，也可以輕松應(yīng)對(duì)RootKit木馬，例如XueTr、IceSword、GMER、Sophos Anti-Rootkit、Rootkit Detective、RootkitBuste等等，這里限于篇幅無法逐一介紹。例如，Sophos Anti-Rootkit就是其中的佼佼者，該工具功能強(qiáng)悍，使用起來簡(jiǎn)單方便。這里就介紹如何利用該工具，發(fā)現(xiàn)并驅(qū)逐RootKit木馬。

Sophos Anti-Rootkit可以對(duì)隱藏在系統(tǒng)進(jìn)程、注冊(cè)表、硬盤中的RootKit程序進(jìn)行全面掃描，在其主窗口（如圖3）點(diǎn)擊“Start scan”按鈕，即可對(duì)RootKit程序的上述藏身處進(jìn)行徹底檢測(cè)，在彈出的窗口中顯示掃描的進(jìn)度，在其中的文件列表中顯示檢測(cè)到的RootKit程序，在“Description”列中顯示RootKit程序的名稱，在“Location”列中顯示對(duì)應(yīng)的文件路徑。從列表選中某個(gè)RootKit程序，在屬性欄中可以列出其詳細(xì)信息。

在其中的第四行（即文件標(biāo)志欄）中如果顯示為“Removable：No”，表示該RootKit程序不可以隨意清除，如果顯示為“Removable：Yes（clean up recommanded）”，表示可以清除該RootKit程序，如果顯示為“Removable：Yes（but clean up not recommanded for this file）”，表示雖然可以清除該RootKit程序，但是Sophos Anti-Rootkit不建議用戶這樣做。之所以有些RootKit不能隨意清除，是因?yàn)镾ophos Anti-Rootkit考慮到這可能影響到系統(tǒng)的穩(wěn)定性。當(dāng)掃描完成后，所有可以清除的RootKit程序自動(dòng)處于選定狀態(tài)，當(dāng)然，如果有把握的話，您也可以選中所有的RootKit程序，之后點(diǎn)擊“Cleanup checked items”按鈕，在彈出的對(duì)話框中點(diǎn)擊“Yes”按鈕，Sophos Anti-Rootkit即可清除所有選定的RootKit程序，之后重啟系統(tǒng)，潛伏系統(tǒng)中的RootKit后門程序就會(huì)徹底消失了。

巧借系統(tǒng)權(quán)限，清除RootKit木馬

除了使用安全軟件對(duì)付RootKIt木馬外，其實(shí)還可以使用NTFS文件系統(tǒng)提供的權(quán)限設(shè)置功能，讓RootKit病毒露出馬腳。例如，很多RootKit病毒喜歡將自身變成看似合法的驅(qū)動(dòng)程序文件，藏身到“C：＼Windows＼system32＼drivers”文件夾中，來擺脫用戶的追捕。只要對(duì)其進(jìn)行權(quán)限控制，就可以有效防止RootKit木馬駐扎。

這里以Windows 7為例進(jìn)行說明，為了便于實(shí)現(xiàn)操作，可以從網(wǎng)上下載名為“管理員取得所有權(quán).reg”的文件，雙擊該文件，將其內(nèi)容導(dǎo)入注冊(cè)表。之后在“C：＼Windows＼system32＼drivers”文件夾的右鍵菜單上點(diǎn)擊“管理員取得所有權(quán)”項(xiàng)，可以立即針對(duì)其中的所有文件執(zhí)行權(quán)限變更命令。在“C：＼Windows＼system32＼drivers”文件夾的右鍵菜單點(diǎn)擊“屬性”項(xiàng)，在彈出窗口的“安全”面板中點(diǎn)擊“編輯”按鈕，在權(quán)限編輯窗口（如圖4）的“組或用戶名”列表中選擇 “Users”組，在下面的權(quán)限設(shè)置列表中的“拒絕”列中勾選“寫入”、“修改”等項(xiàng)。這樣就可以限制RootKit木馬向該文件夾中寫入數(shù)據(jù)了。當(dāng)然，如果有多個(gè)需要控制權(quán)限的賬戶或者組，您可以分別為其取消“寫入”等權(quán)限即可。如果有RootKit木馬試圖向該文件夾中寫入偽裝的驅(qū)動(dòng)文件，就會(huì)因?yàn)闄?quán)限不足而無法進(jìn)行。當(dāng)然，如果對(duì)“C：＼Windows＼system32”文件夾進(jìn)行同樣的權(quán)限設(shè)置，可以大大提高系統(tǒng)的安全性。