2007年電腦病毒普遍使用技術:RootKit
現在的病毒作者在編寫病毒時更加注重自身的隱蔽。病毒作者主要採用三大隱身術,通過RootKit技術隱藏病毒進程、病毒文件、隱藏數據傳輸端口以及註冊表內鍵值;通過篡改註冊表相關鍵值屏蔽顯示隱藏文件的功能;使用IEFO重定向劫持技術禁止殺毒軟件運行。
其中,RootKit 技術是今年病毒普遍使用的技術。Rootkit 是"Root"和"Kit"兩個單詞構成的合成詞,直譯為系統管理員工具箱,該技術最早在UNIX 下出現。用於替換一些重要的系統文件,以來迷惑管理員對系統信息的察看。現在該技術現在已經移植到Windows平台上,並已經廣泛使用,現在人們通常把具有隱藏進程,隱藏文件,隱藏端口等功能的後門叫做RootKit 。
很多病毒都採用了RootKit技術進行編寫,如灰鴿子(Backdoor/Huigezi)後門病毒、友好客戶(Backdoor/PcClient)後門病毒,以及部分版本的網游大盜(Trojan/PSW.GamePass)木馬等,都採用該技術進行編寫,以達到隱藏自身,躲避檢測,躲避查殺的目的。
病毒隱身術之二是通過惡意修改註冊表中[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolder] 裡面的相關鍵值,來屏蔽顯示隱藏文件功能,這樣無論用戶在系統設置中如何顯示隱藏文件,都無法看見病毒體,這就給用戶的樣本提取和上報帶來了難度。 IEFO重定向劫持技術也是今年病毒普遍採用的一個隱身功能,病毒通過修改註冊表[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options],來禁止常見的殺毒軟件、防火牆軟件和安全工具的運行,從而達到躲避查殺,隱藏自身的目的。
