请教NPE中包含ROOTKIT扫描与排除ROOTKIT扫描的区别

显示全部楼层 · 发表于 2011-10-9 23:16:49

显示全部楼层 · 发表于 2011-10-10 05:11:47

看来大家都休息了，我等楼下的童鞋们回答

显示全部楼层 · 发表于 2011-10-10 15:49:11

没人知道吗

显示全部楼层 · 发表于 2011-10-10 16:31:18

Rootkit是指其主要功能为隐藏其他程式进程的软件，可能是一个或一个以上的软件组合；广义而言，Rootkit也可视为一项技术。
简单地说， rootkit就是一个内核级后门/木马。实际上，rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常，攻击者通过远程攻击获得root访问权限，或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。进入系统后，如果他还没有获得root权限，再通过某些安全漏洞获得系统的root权限。接着，攻击者会在侵入的主机中安装rootkit，然后他将经常通过rootkit的后门检查系统是否有其他的用户登录，如果只有自己，攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后，攻击者就会利用这些信息侵入其它的系统。

显示全部楼层 · 发表于 2011-10-11 12:49:50

包含rootkit扫描的话，NPE会要求电脑重启。由于rootkit会自我隐藏/自我保护，又多以驱动型式存在，因此监控电脑的开机过程就有更高的把握检测rootkit。简言之，在rootkit运行之前擒获它。
如果排除的话，那么主要只是针对一些.exe, .dll和常规的.sys文件等进行扫描。

显示全部楼层 · 发表于 2011-10-11 12:51:15

开开心心发表于 2011-10-11 12:49
包含rootkit扫描的话，NPE会要求电脑重启。由于rootkit会自我隐藏/自我保护，又多以驱动型式存在，因此监控 ...

版区有你更精彩。 +1

[讨论] 请教NPE中包含ROOTKIT扫描与排除ROOTKIT扫描的区别

评分

浏览过的版块