Rootkit
百度百科的解释:[quote]在网络安全中经常会遇到rootkit,NSA安全和入侵检测术语字典( NSA Glossary of Terms Used in Security and Intrusion Detection)对rootkit的定义如下:A hacker security tool that captures passwords and message traffic to and from a computer. A collection of tools that allows a hacker to provide a backdoor into a system, collect information on other systems on the network,mask the fact that the system is compromised, and much more. Rootkit is a classic example of Trojan Horse software. Rootkit is available for a wide range of operating systems.
好多人有一个误解,他们认为rootkit是用作获得系统root访问权限的工具。实际上,rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常,攻击者通过远程攻击获得root访问权限,或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。进入系统后,如果他还没有获得root权限,再通过某些安全漏洞获得系统的root权限。接着,攻击者会在侵入的主机中安装rootkit,然后他将经常通过rootkit的后门检查系统是否有其他的用户登录,如果只有自己,攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后,攻击者就会利用这些信息侵入其它的系统。
什么是rootkit
Rootkit出现于二十世纪90年代初,在1994年2月的一篇安全咨询报告中首先使用了rootkit这个名词。这篇安全咨询就是CERT-CC的CA-1994-01,题目是Ongoing Network Monitoring Attacks,最新的修订时间是1997年9月19日。从出现至今,rootkit的技术发展非常迅速,应用越来越广泛,检测难度也越来越大。
rootkit介绍Rootkit是一种奇特的程序,它具有隐身功能:无论静止时(作为文件存在),还是活动时,(作为进程存在),都不会被察觉。换句话说,这种程序可能一直存在于我们的计算机中,但我们却浑然不知,这一功能正是许多人梦寐以求的——不论是计算机黑客,还是计算机取证人员。黑客可以在入侵后置入Rootkit,秘密地窥探敏感信息,或等待时机,伺机而动;取证人员也可以利用Rootkit实时监控嫌疑人员的不法行为,它不仅能搜集证据,还有利于及时采取行动。!
一、背景知识
我们通常所说的智能机器,大至超级计算机,中到个人PC,小至智能手机,通常都有两部分组成:硬件和软件。并且,设备的智能是通过软件来实现的。所有软件中,有一种是必不可少的,那就是操作系统。操作系统可以简单理解为一组高度复用的核心程序,一方面,它要管理低层的硬件设备,另一方面,为上层其它程序提供一个良好的运行环境。真是同人不同命,同为软件,操作系统却享有至高无上的特权:它不仅管理硬件,而且其他所有软件也都受制于它。
因为在应用程序和硬件之间隔着操作系统,所以应用程序不能直接访问硬件,而是通过调用操作系统提供的接口来使用硬件。也就是说,对应用程序而言,硬件是不可见的。当然,凡事是没有绝对的,应用程序绕过操作系统来直接访问硬件也不是不可能的,但这样做会付出高昂的代价。设想一个软件开发商在开发一款功能丰富的软件,功能本身就够他头痛得了,现在他还得操心某个数据在某个磁道的某个簇上,某个字符在某品牌显示器上的颜色的二进制代码等等繁琐的事情,不用说财力和物力,单说开发周期就是无法容忍的。所以,现在的应用程序都是使用操作系统提供的简单明了的服务来访问系统的,因为毕竟没有谁愿意自讨苦吃。
二、内核的主要功能
从上文中我们已经了解,内核在系统中处于核心枢纽的地位,下面我们具体介绍内核中与Rootkit紧密相关的几个主要功能,更重要的是这些功能对Rootkit的意义所在:
进程管理。进程可以简单理解为运行中的程序,它需要占用内存、CPU时间等系统资源。现在的操作系统大多支持多用户多任务,也就是说系统要并行运行多个程序。为此,内核不仅要有专门代码来负责为进程或线程分配CPU时间,另一方面还要开辟一段内存区域存放用来记录这些进程详细情况的数据结构。内核是怎么知道系统中有多少进程、各进程的状态等信息的?就是通过这些数据结构,换句话说它们就是内核感知进程存在的依据。因此,只要修改这些数据结构,就能达到隐藏进程的目的。
文件访问。文件系统是操作系统提供的最为重要的功能之一。内核中的驱动程序把设备的柱面、扇区等原始结构抽象成为更加易用的文件系统,并提供一个一致的接口供上层程序调用。也就是说,这部分代码完全控制着对硬盘的访问,通过修改内核的这部分代码,攻击者能够隐藏文件和目录。
安全控制。对大部分操作系统来说,因为系统中同时存在多个进程,为了避免各进程之间发生冲突,内核必须对各进程实施有效的隔离措施。比如,在MS-Windows系统中,每个进程都被强制规定了具体的权限和单独的内存范围。因此,对攻击者而言,只要对内核中负责安全事务的代码稍事修改,整个安全机制就会全线崩溃。
内存管理。现在的硬件平台(比如英特尔的奔腾系列处理器)的内存管理机制已经复杂到可以将一个内存地址转换成多个物理地址的地步。举例来说,进程A按照地址 0x0030030读取内存,它得到值的是“飞机”;然而,进程B也是按照同样的地址0x0030030来读取内存,但它取得的值却是“大炮”。像上面这样,同一个地址指向截然不同的两个物理内存位置,并且每个位置存放不同的数据这种现象并不足以为怪——只不过是两个进程对虚拟地址到物理地址进行了不同的映射而已。如果这一点利用好了,我们可以让Rootkit躲避调试程序和取证软件的追踪。
上面介绍了内核的主要功能,以及它们对 Rootkit的重大意义。说到这里,我们就要切入正题了,即:只要我们颠覆(即修改)了操作系统的核心服务(即内核),那么整个系统包括各种应用就完全处于我们的掌控之下了。要想颠覆内核,前提条件是能把我们的代码导入内核。
其中针对SunOS和Linux两种操作系统的rootkit最多(树大招风:P)。所有的rootkit基本上都是由几个独立的程序组成的,一个典型rootkit包括:
1 以太网嗅探器程程序,用于获得网络上传输的用户名和密码等信息。
2 特洛伊木马程序,例如:inetd或者login,为攻击者提供后门。
3 隐藏攻击者的目录和进程的程序,例如:ps、netstat、rshd和ls等。
4 可能还包括一些日志清理工具,例如:zap、zap2或者z2,攻击者使用这些清理工具删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。
一些复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。
还包括一些用来清理/var/log和/var/adm目录中其它文件的一些脚本。
攻击者使用rootkit中的相关程序替代系统原来的ps、ls、netstat和df等程序,使系统管理员无法通过这些工具发现自己的踪迹。接着使用日志清理工具清理系统日志,消除自己的踪迹。然后,攻击者会经常地通过安装的后门进入系统查看嗅探器的日志,以发起其它的攻击。如果攻击者能够正确地安装rootkit并合理地清理了日志文件,系统管理员就会很难察觉系统已经被侵入,直到某一天其它系统的管理员和他联系或者嗅探器的日志把磁盘全部填满,他才会察觉已经大祸临头了。但是,大多数攻击者在清理系统日志时不是非常小心或者干脆把系统日志全部删除了事,警觉的系统管理员可以根据这些异常情况判断出系统被侵入。不过,在系统恢复和清理过程中,大多数常用的命令例如ps、df和ls已经不可信了。许多rootkit中有一个叫做FIX的程序,在安装rootkit之前,攻击者可以首先使用这个程序做一个系统二进制代码的快照,然后再安装替代程序。FIX能够根据原来的程序伪造替代程序的三个时间戳(atime、ctime、mtime)、date、permission、所属用户和所属用户组。如果攻击者能够准确地使用这些优秀的应用程序,并且在安装rootkit时行为谨慎,就会让系统管理员很难发现。
LINUX ROOTKIT IV
前面说过,大部分rootkit是针对Linux和SunOS的,下面我们介绍一个非常典型的针对Linux系统的rootkit--Linux Rootkit IV。Linux Rootkit IV是一个开放源码的rootkit,是Lord Somer编写的,于1998年11月发布。不过,它不是第一个Linux Rootkit,在它之前有lrk、lnrk、lrk2和lrk3等Linux Rootkit。这些rootkit包括常用的rootkit组件,例如嗅探器、日志编辑/删除工具、和后门程序的。
经过这么多年的发展,Linux Rootkit IV功能变的越来越完善,具有的特征也越来越多。不过,虽然它的代码非常庞大,却非常易于安装和使用,只要执行make install就可以成功安装。如果你还要安装一个shadow工具,只要执行make shadow install就可以了。注意:Linux Rootkit IV只能用于Linux 2.x的内核。下面我们简单地介绍一下Linux Rootkit IV包含的各种工具,详细的介绍请参考其发布包的README文件。
隐藏入侵者行踪的程序
为了隐藏入侵者的行踪,Linux Rootkit IV的作者可谓煞费心机,编写了许多系统命令的替代程序,使用这些程序代替原由的系统命令,来隐藏入侵者的行踪。这些程序包括:
ls、find、du
这些程序会阻止显示入侵者的文件以及计算入侵者文件占用的空间。在编译之前,入侵者可以通过ROOTKIT_FILES_FILE设置自己的文件所处的位置,默认是/dev/ptyr。注意如果在编译时使用了SHOWFLAG选项,就可以使用ls -/命令列出所有的文件。这几个程序还能够自动隐藏所有名字为:ptyr、hack.dir和W4r3z的文件。
ps、top、pidof
这几个程序用来隐藏所有和入侵者相关的进程。
netstat
隐藏出/入指定IP地址或者端口的网络数据流量。
killall
不会杀死被入侵者隐藏的进程。
ifconfig
如果入侵者启动了嗅探器,这个程序就阻止PROMISC标记的显示,使系统管理员难以发现网络接口已经处于混杂模式下。
crontab
隐藏有关攻击者的crontab条目。
tcpd
阻止向日志中记录某些连接
syslogd
过滤掉日志中的某些连接信息
木马程序
为本地用户提供后门,包括:
chfn
提升本地普通用户权限的程序。运行chfn,在它提示输入新的用户名时,如果用户输入rookit密码,他的权限就被提升为root。默认的rootkit密码是satori。
chsh
也是一个提升本地用户权限的程序。运行chsh,在它提示输入新的shell时,如果用户输入rootkit密码,他的权限就被提升为root。
passwd
和上面两个程序的作用相同。在提示你输入新密码时,如果输入rookit密码,权限就可以变成root。
login
允许使用任何帐户通过rootkit密码登录。如果使用root帐户登录被拒绝,可以尝试一下rewt。当使用后门时,这个程序还能够禁止记录命令的历史记录。
木马网络监控程序
这些程序为远程用户提供后门,可以向远程用户提供inetd、rsh、ssh等服务,具体因版本而异。随着版本的升级,Linux Rootkit IV的功能也越来越强大,特征也越来越丰富。一般包括如下网络服务程序:
inetd
特洛伊inetd程序,为攻击者提供远程访问服务。
rshd
为攻击者提供远程shell服务。攻击者使用rsh -l rootkitpassword host command命令就可以启动一个远程root shell。
sshd
为攻击者提供ssh服务的后门程序。
工具程序
所有不属于以上类型的程序都可以归如这个类型,它们实现一些诸如:日志清理、报文嗅探以及远程shell的端口绑定等功能,包括:
fix
文件属性伪造程序
linsniffer
报文嗅探器程序。
sniffchk
一个简单的bash shell脚本,检查系统中是否正有一个嗅探器在运行。
wted
wtmp/utmp日志编辑程序。你可以使用这个工具编辑所有wtmp或者utmp类型的文件。
z2
utmp/wtmp/lastlog日志清理工具。可以删除utmp/wtmp/lastlog日志文件中有关某个用户名的所有条目。不过,如果用于Linux系统需要手工修改其源代码,设置日志文件的位置。
bindshell rootkit
在某个端口上绑定shell服务,默认端口是12497。为远程攻击者提供shell服务。
如何发现rootkit
很显然,只有使你的网络非常安装让攻击者无隙可乘,才能是自己的网络免受rootkit的影响。不过,恐怕没有人能够提供这个保证,但是在日常的网络管理维护中保持一些良好的习惯,能够在一定程度上减小由rootkit造成的损失,并及时发现rootkit的存在。
首先,不要在网络上使用明文传输密码,或者使用一次性密码。这样,即使你的系统已经被安装了rootkit,攻击者也无法通过网络监听,获得更多用户名和密码,从而避免入侵的蔓延。
使用Tripwire和aide等检测工具能够及时地帮助你发现攻击者的入侵,它们能够很好地提供系统完整性的检查。这类工具不同于其它的入侵检测工具,它们不是通过所谓的攻击特征码来检测入侵行为,而是监视和检查系统发生的变化。Tripwire首先使用特定的特征码函数为需要监视的系统文件和目录建立一个特征数据库,所谓特征码函数就是使用任意的文件作为输入,产生一个固定大小的数据(特征码)的函数。入侵者如果对文件进行了修改,即使文件大小不变,也会破坏文件的特征码。利用这个数据库,Tripwire可以很容易地发现系统的变化。而且文件的特征码几乎是不可能伪造的,系统的任何变化都逃不过Tripwire的监视(当然,前提是你已经针对自己的系统做了准确的配置:P,关于Tripwire和aide的使用请参考本站的相关文章)。最后,需要能够把这个特征码数据库放到安全的地方。[/quote] 计算机世界报 2006年03月13日 第09期 C27、C28
[quote]
[b]编者按 [/b]
自去年11月份,一位独立研究人员披露在索尼-BMG CD上存在Rootkit工具后,信息安全厂商就一直预测这样的恶意代码会出现。
这是一种特殊类型的恶意软件,Rootkit的目的在于隐藏自己以及其他软件不被发现,所以用户无法检测到Rootkit,也几乎不可能删除它们,更不知道它们在做什么事情。虽然相关的检测工具在不断增多,但Rootkit软件的开发者也在不断寻找新的途径来掩盖它们的踪迹。
更为严重的是,针对Windows的Rootkit技术与日益频繁的间谍软件及特洛伊木马捆绑在一起。就目前的一些Rootkit来说,这些只不过是攻击者小试牛刀而已。有一天,你可能无法把恶意软件从被感染的机器当中消除——你只好对硬盘重新格式化,或者干脆拿到网上拍卖,交给别人去处理。
当然,Rootkit并非无法对付。常规的安全产品如防病毒软件和防间谍软件等可提供一定的保护,而新出现的一些工具也能查出已知和未知的Rootkit。那么,Rootkit是不是很快会泛滥成灾?用户该如何将这种威胁降到最低?为此,本栏目选编两篇Rootkit的相关文章,希望能对读者有所帮助。
● Rootkit真相 ● 尝试清除Rootkit
[b]作为一种特殊类型的恶意软件,Rootkit到底会给计算机带来多大的危害?[/b]
在众多Rootkit中,针对Windows的Rootkit更应值得关注。因为它使得这些威胁变得更普遍,会影响Windows服务器、桌面电脑和便携式电脑,而且会与目标瞄向最终用户的恶意软件捆绑在一起。针对这种情况,本文首先分析不同种类的Windows Rootkit,然后分析为什么Rootkit会在今后一年数量激增。
知己知彼
Rootkit是安装到电脑上的一组程序,用于以管理员(即“根账户”)身份访问该系统。如果对根账户拥有访问权,攻击者就可以完全控制这台电脑,随时添加或者更改删除、监控进程、收发网络流量以及进入后门。
[img]http://www2.ccw.com.cn/06/0609/c/pic/c06_1t2.jpg[/img]Rootkit还能够隐藏自己及其他程序,不被系统状态、诊断工具(如Windows任务管理器)和安全软件所发现。Rootkit的隐藏手段就是暗中破坏报告电脑进程、文件和注册表的机制。
[img]http://www2.ccw.com.cn/06/0609/c/pic/c06_1t3.jpg[/img]Rootkit并不依靠安全漏洞进入电脑,而是往往由其他恶意软件装入到已被人利用的系统中。Rootkit往往与诱使用户安装程序的特洛伊木马软件捆绑在一起。Rootkit会利用用户拥有的各项执行权限,所以在大多数用户以管理员权限使用电脑的Windows环境下,Rootkit会自然获得不受限制的访问权。
通常来说,Windows Rootkit有两种形式:用户模式Rootkit和内核模式Rootkit。这是因为Windows操作系统会创建两层功能:用户空间和内核空间。应用程序在用户空间里面运行,必须通过系统调用向内核请求访问计算资源(如系统内存、磁盘读取、设备驱动程序和CPU)。内核管理这些资源,并在必要时把资源分配给应用程序。
你可能已经猜到,用户模式Rootkit在用户空间里面运行,它们可能会作为单个应用程序运行,也可能会改动某个现有程序;内核模式Rootkit则在操作系统内核里面运行,它们往往作为设备驱动程序被插入。
这两种Rootkit隐藏自己的办法通常是,对诊断工具或者安全软件请求的系统状态信息进行过滤,这一手法又叫“钩住(hooking)”。譬如说,如果用户查看目录内容,Rootkit就会截获对目录查看进程的调查,然后向用户返回虚假信息。
[img]http://www2.ccw.com.cn/06/0609/c/pic/c06_1t4.jpg[/img]如果把这种手法比做间谍想篡改报纸上的信息,用户模式Rootkit好比不法分子篡改从印刷机出来后的每张报纸上的信息;而内核模式Rootkit会篡改印刷机印刷时的信息本身,所以从印刷机出来的每张报纸早已被篡改。
每种Rootkit用的“钩住”手法各有优缺点,而这会影响攻击者如何使用Rootkit、防御者如何检测。
用户模式Rootkit过滤信息的方式是,“钩住”与请求信息的软件程序相关的Windows API。专家说,用户模式Rootkit比较容易创建,因为合法程序也需要接入Windows API。同时,用户模式Rootkit还可能更广泛地被攻击者所使用,因为它们比较容易在不同的Windows操作系统之间移植,其中包括Windows XP和Windows 2000。
对用户有利的方面是,用户模式Rootkit比内核模式Rootkit更容易被发现。扫描操作系统内核的安全软件能够检测到对API所作的改动。某些情况下,防病毒和防间谍软件技术根据其现有特征,能够检测到公开的、已知用户模式的Rootkit。软件研究人员和传统软件厂商也在不断提供专门的Rootkit检测软件。
内核模式Rootkit位于操作系统内核里面,因而可对驻留在用户空间里面的应用程序行使相当大的控制权,其中包括系统监控工具和安全软件。内核模式Rootkit通过截获来自用户空间里面的应用程序的系统调用来过滤信息。内核模式Rootkit创建起来比较困难,因为它们在电脑内极重要的层面工作,要是编程有所失误,就会导致整个系统崩溃。
遗憾的是,内核模式Rootkit也更难被检测出来。因为它们在操作系统的最底层运行,所以会暗中破坏试图把它们检测出来的诊断或者安全软件。而且,内核模式Rootkit也更难清除,管理员可能必须分析被感染的电脑上的每个文件。这个过程很费时间,还可能会出现许多错误,譬如漏过某个文件或者清除无害文件。
来势迅猛
如今,Rootkit并不是许多软件设计师们关注的首要问题。一个原因就是,还没有出现恶意Rootkit大规模感染的现象,虽然索尼的Rootkit事件几乎引发了一场灾难。
思科系统公司的思科安全代理产品经理Joshua Huston说:“关于Rootkit有许多报道,不过被感染的机器所占比率还比较小。”
另一个原因就是,蠕虫和病毒的发作会对网络可用性会带来极为明显的影响,所以避免网络停用成了IT管理人员关注的首要问题。相比之下,偷偷实施的入侵不大被人注意,因为后果不会立即显现出来。
另外,从绝对数量方面来看,普通的恶意软件如蠕虫和bot软件在数量上超过Rootkit。据微软的研究文章声称,2005年1月11日到6月21日间,微软的恶意软件清除工具清除了110多万个Rbot和Sdbot 后门,它们被用来强行把许多PC加入到僵尸网络中。相比之下,微软声称只清除了大约85000个FU Rootkit和18600个HackerDefender Rootkit。
恶意软件传播者也还没有把Rootkit作为其工具包中的一个标准组件。据防间谍软件厂商Aluria Software的威胁研究主管Hiep Dang声称,现有的间谍软件程序大约只有5%把Rootkit安置到被感染的电脑上。
不过尽管如今渗透到电脑中的Rootkit数量还不多,但安全专家们估计,Rootkit问题会急剧恶化。Sysinternals公司的Mark Russinovich说:“这个危险绝对是越来越严重。”Russinovich开发了免费的Rootkit检测工具——RootkitRevealer。正是他揭发了索尼公司的Rootkit。
Russinovich说:“我认为,恶意软件编写者很快就会导致事态急剧恶化。有好多人致力于编写Rootkit,因为人员和共享信息的绝对数量非常大,所以问题一旦发作,将无法收场。”
防病毒公司F-Secure的研究人员Mika Stahlberg说,该公司正在获得有关Rootkit动态的新数据,这归功于它的Blacklight Rootkit检测程序。“我们在去年3月推出了Blacklight,只是在头两个月才接到反映服务器上出现Rootkit的报告。随后我们就开始看到更多的特洛伊木马把Rootkit安置在PC上,并通过这些恶意软件来隐藏自己。”
如今,被人安置的Rootkit大多基于FU和HackerDefender,这是最知名、随处可得的其中两种程序。Stahlberg说:“把这项功能添加到其他恶意软件里面已变得越来越容易。”恶意软件编写者没必要精通复杂深奥的操作系统内核。他们只要把这些公之于众的Rootkit加入到自己的工具包里面,或者改动代码就可以满足自己的需要。
预计会有更多的人使用Rootkit的一个原因就是,使用间谍软件、广告软件和bot的不法分子把Rootkit作为工具箱当中的一个标准工具有其经济上的动力:恶意软件在一台机器上驻留时间越长,窃取信息、发布广告、控制大量电脑用于敲诈勒索及发送垃圾邮件的可能性也就越大。[/quote] [url=http://photo5.yupoo.com/20070826/222925_1811365548_bnvtuqnf.jpg][img=48,100]http://photo5.yupoo.com/20070826/222925_1811365548_t.jpg[/img][/url]
相关检测清除工具
[url=http://soft.72pines.com/ice-sword/][color=#800080]冰刃[/color][/url]可以,同时再推荐两个小工具给大家,都是“系出名门”,相信一定有用得上的时候。
[align=center][url=http://vil.nai.com/vil/stinger/rkstinger.aspx][color=#800080]---McAfee Rootkit Detective---[/color][/url][/align]
咖啡的实力不容置疑,这个软件依然继承了咖啡一贯的鲜红色界面,而且还有一些自定义设置。
[align=center][url=http://photo5.yupoo.com/20070826/222923_711944848_keibekve.jpg][img=100,94]http://photo5.yupoo.com/20070826/222923_711944848_t.jpg[/img][/url] [url=http://photo5.yupoo.com/20070826/222924_315080114_halkoini.jpg][img=100,81]http://photo5.yupoo.com/20070826/222924_315080114_t.jpg[/img][/url][/align]
[align=center][url=http://www.microsoft.com/technet/sysinternals/Utilities/RootkitRevealer.mspx][color=#0000ff]---RootkitRevealer---[/color][/url][/align]之前由Sysinternal开发,现在公司被微软收购后它成为了微软众多安全软件中的“一员”。与咖啡的相比,这个稍显“简陋”,设置很少。
[align=center][url=http://photo5.yupoo.com/20070826/222924_385386850_ajzdrdfr.jpg][img=100,67]http://photo5.yupoo.com/20070826/222924_385386850_t.jpg[/img][/url][/align]下载:[url=http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip][color=#0000ff]McAfee Rootkit Detective[/color][/url]、[url=http://download.sysinternals.com/Files/RootkitRevealer.zip][color=#0000ff]RootkitRevealer[/color][/url] 检测Rootkit的东西太多了~除了上文中提到的还有:
Darkspy Anti-Rootkit
F-secure Blacklight
Panda AntiRootkit
RootKit Hook Analyzer
RootkitBuster
Sophos Anti-Rootkit
Bitdefender Antirootkit
AVG AntiRootkit
国产的分析工具有名的还有Wsyscheck和狙剑
国外的GMER和RootkitUnhooker是很有名的分析工具
虽然AntiRootkit的东西很多,但有杀软厂商推出的AntiRootkit工具水分都是极大的。RootkitUnhooker作者做过很多对比研究,不少反rootkit对基本的rootkit都不能侦测完全,手段落后、技术不过关、架构不稳定的现象比比皆是。像IceSword虽然很优秀,但是树大招风,被bypass是家常便饭,作者也不可能有那么多精力改进。所以说绝大部分这类工具基本上等同于摆设鸡肋型,只能对付对付高级一点的病毒……
RootkitUnhooker本来是个不错的东西,可惜因为其鄙视GMER技术落后牛皮吹破的言论遭后者作者砸场子,一气之下停止新版本公开发布,只公开修补后的旧版,可惜了
页:
[1]