【IT168 专稿】面对如今复杂的网络，可以获取"root"权限，在系统中较高级别的权限，并部署恶意程序的很小的“包”，这些“包”往往是恶意的，并可执行的软件包，是网络安全最大的威胁——恶意代码"Rootkit" 。Rootkit高效的获取系统准入使得安全领域的检测技术受到极大的挑战。为防止内核模式的恶意软件以及数字权限管理的侵犯，微软在其Vista操作系统中增加了安全策略，在其设备驱动中要求数字签名。这一安全机制，一直被外界批评，因为其同时防止合法的第三方应用软件开发商驱动程序。微软认为，虽然造成部分周边设备的不相容，但vista的驱动安全策略是对创造带有引导扇区病毒后门的挑战。

    了解Rootkit
    Rootkit是一种奇特的程序，它具有隐身功能：无论静止时，还是活动时，都不会被察觉。不论是计算机黑客，还是计算机取证人员。黑客可以在入侵后置入Rootkit，秘密地窥探敏感信息，或等待时机，伺机而动。当你的计算机开始出现异常情况时，可能你的计算机被间谍软件、病毒、特洛伊木马、蠕虫或者其它形式的恶意软件感染了。如果在你使用杀毒软件和/或者反间谍软件进行扫描之后继续存在这个问题，那么，这个时候就该使用某些工具进行深入的分析了。需要检查的是计算机的启动程序，看看是否存在当前杀毒软件定义中没有的新的恶意软件。如果在安全模式下发现新的记录和文件，计算机很可能受到了在Windows正式模式下看不到的普通rootkit的感染。

    如果你发现的rootkit看起来像是与各种恶意软件捆绑在一起的普通的rootkit，那么，将受影响的系统从网络断开，要确定这个事件的根源以便采取具体措施堵住被利用的任何安全漏洞吗?在事件发生之间制定一个具体的事件反应计划。恶意软件作者不断地会更新他们的工具以便避开最新的检测应用程序。总之，要在系统启动的时候拍下系统的快照，收集每个硬盘的目录列表等信息，使用替代的操作系统启动计算机，用你在干净的操作系统中所看到的东西与被攻破的操作系统中的东西进行比较。即使你的系统已经被安装了rootkit，攻击者也无法通过网络监听，获得更多用户名和密码，从而避免入侵的蔓延。使用Tripwire和aide等检测工具能够及时地帮助你发现攻击者的入侵，它们能够很好地提供系统完整性的检查。这类工具不同于其它的入侵检测工具，它们不是通过所谓的攻击特征码来检测入侵行为，而是监视和检查系统发生的变化。Tripwire首先使用特定的特征码函数为需要监视的系统文件和目录建立一个特征数据库，所谓特征码函数就是使用任意的文件作为输入，产生一个固定大小的数据的函数。入侵者如果对文件进行了修改，即使文件大小不变，也会破坏文件的特征码。利用这个数据库，Tripwire可以很容易地发现系统的变化。而且文件的特征码几乎是不可能伪造的，系统的任何变化都逃不过Tripwire的监视。当然，前提是你已经针对自己的系统做了准确的配置，需要能够把这个特征码数据库放到安全的地方。