【IT168 专稿】面对如今复杂的网络，可以获取"root"权限，在系统中较高级别的权限，并部署恶意程序的很小的“包”，这些“包”往往是恶意的，并可执行的软件包，是网络安全最大的威胁——恶意代码"Rootkit" 。Rootkit高效的获取系统准入使得安全领域的检测技术受到极大的挑战。为防止内核模式的恶意软件以及数字权限管理的侵犯，微软在其Vista操作系统中增加了安全策略，在其设备驱动中要求数字签名。这一安全机制，一直被外界批评，因为其同时防止合法的第三方应用软件开发商驱动程序。微软认为，虽然造成部分周边设备的不相容，但vista的驱动安全策略是对创造带有引导扇区病毒后门的挑战。

    了解Rootkit
    Rootkit是一种奇特的程序，它具有隐身功能：无论静止时，还是活动时，都不会被察觉。不论是计算机黑客，还是计算机取证人员。黑客可以在入侵后置入Rootkit，秘密地窥探敏感信息，或等待时机，伺机而动。当你的计算机开始出现异常情况时，可能你的计算机被间谍软件、病毒、特洛伊木马、蠕虫或者其它形式的恶意软件感染了。如果在你使用杀毒软件和/或者反间谍软件进行扫描之后继续存在这个问题，那么，这个时候就该使用某些工具进行深入的分析了。需要检查的是计算机的启动程序，看看是否存在当前杀毒软件定义中没有的新的恶意软件。如果在安全模式下发现新的记录和文件，计算机很可能受到了在Windows正式模式下看不到的普通rootkit的感染。

    如果你发现的rootkit看起来像是与各种恶意软件捆绑在一起的普通的rootkit，那么，将受影响的系统从网络断开，要确定这个事件的根源以便采取具体措施堵住被利用的任何安全漏洞吗?在事件发生之间制定一个具体的事件反应计划。恶意软件作者不断地会更新他们的工具以便避开最新的检测应用程序。总之，要在系统启动的时候拍下系统的快照，收集每个硬盘的目录列表等信息，使用替代的操作系统启动计算机，用你在干净的操作系统中所看到的东西与被攻破的操作系统中的东西进行比较。即使你的系统已经被安装了rootkit，攻击者也无法通过网络监听，获得更多用户名和密码，从而避免入侵的蔓延。使用Tripwire和aide等检测工具能够及时地帮助你发现攻击者的入侵，它们能够很好地提供系统完整性的检查。这类工具不同于其它的入侵检测工具，它们不是通过所谓的攻击特征码来检测入侵行为，而是监视和检查系统发生的变化。Tripwire首先使用特定的特征码函数为需要监视的系统文件和目录建立一个特征数据库，所谓特征码函数就是使用任意的文件作为输入，产生一个固定大小的数据的函数。入侵者如果对文件进行了修改，即使文件大小不变，也会破坏文件的特征码。利用这个数据库，Tripwire可以很容易地发现系统的变化。而且文件的特征码几乎是不可能伪造的，系统的任何变化都逃不过Tripwire的监视。当然，前提是你已经针对自己的系统做了准确的配置，需要能够把这个特征码数据库放到安全的地方。

    如何避免Rootkit
    安全方面最重要的步骤是尽一切努力阻止用户使用管理员的权限登录网络。当恶意软件感染一台计算机的时候，这个恶意软件将以登录用户同样的安全级别运行。因此，如果用户具有管理员权限，这个恶意软件也将拥有管理员权限。这种权限就给予恶意软件全面访问你的计算机的权利。虽然Rootkit在众多恶意软件中还只占了很小一部分，但是大多数安全软件相对恶意软件技术是滞后的，并且Rootkit是很难被检测出其存在的。系统的周遍保护，限制用户权限级别，加上严格控制经营服务将提供强大的网络防御，抵制恶意渗透。可以采取很多应对措施，以下常见最有效的五项措施：

    1、避免使用具有管理员权限的账户登录。

    2、运行一个为你的整个网络设置的防火墙以及分配给每个端口的防火墙软件。使用防火墙封锁经常被黑客攻破的Windows TCP端口，如80、135、139、443和445端口。通过从源头封锁这些端口，你首先会减少被黑客攻破的风险。非常好的的做法的是封锁每一个端口，仅把一个端口映射到一台需要打开端口的机器上。如果一台计算机需要使用上述端口，防火墙应该确定哪一台计算机可以通过这个端口远程接入这台计算机，而不是把端口完全敞开。

    3、保持你的Windows和其它软件都是用最新的补丁和服务包。如果你只有少量的系统，你可以使用“Automatic Updates”（自动更新）等工具。每一台计算机都应该一直拥有最新的安全更新，并且运行每一天都更新的杀毒软件。病毒软件的新的定义是经常发布的，拥有这些最新的定义是非常重要的。

    4、使用最新的间谍软件保护工具。如在计算机上安装Spybot-Search and Destroy、Webroot软件公司的Spy Sweeper或者Lavasoft公司的Ad-Aware等工具软件。使用最新的更新每天或者每个星期扫描一次能够自动发挥最新的病毒定义的优势。

    5、要教育用户采取良好的做法。用户应该知道不要点击互联网广告、陌生人从即时消息中发来的链接或者陌生人发来的电子邮件的附件。如果一个新的蠕虫开始传播，IT工作人员应该立即发出电子邮件通知所有的用户，解释这种病毒应急措施及解决办法。

    编者按：只有了解了网络安全的现状、熟悉黑客攻击的基本手段、建立安全有效的防范体系，才能成为高效率、可靠、可信赖的网络平台。