关于KAV7.0的问题

地之雾

刚才才看到KAV7.0.06是反rootkit技术的测试版，请问有谁知道什么是rootkit技术？谢谢

lby74

不懂,也不想研究,一个字懒

tao1986126

Rootkit出现于二十世纪90年代初，在1994年2月的一篇安全咨询报告中首先使用了rootkit这个名词。这篇安全咨询就是CERT-CC的 CA-1994-01，题目是Ongoing Network Monitoring Attacks，最新的修订时间是1997年9月19日。从出现至今，rootkit的技术发展非常迅速，应用越来越广泛，检测难度也越来越大。其中针对 SunOS和Linux两种操作系统的rootkit最多(树大招风:P)。所有的rootkit基本上都是由几个独立的程序组成的，一个典型 rootkit包括：



以太网嗅探器程程序，用于获得网络上传输的用户名和密码等信息。


特洛伊木马程序，例如：inetd或者login，为攻击者提供后门。


隐藏攻击者的目录和进程的程序，例如：ps、netstat、rshd和ls等。


可能还包括一些日志清理工具，例如：zap、zap2或者z2，攻击者使用这些清理工具删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。


一些复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。


还包括一些用来清理/var/log和/var/adm目录中其它文件的一些脚本。


攻击者使用rootkit中的相关程序替代系统原来的ps、ls、netstat和df等程序，使系统管理员无法通过这些工具发现自己的踪迹。接着使用日志清理工具清理系统日志，消除自己的踪迹。然后，攻击者会经常地通过安装的后门进入系统查看嗅探器的日志，以发起其它的攻击。如果攻击者能够正确地安装 rootkit并合理地清理了日志文件，系统管理员就会很难察觉系统已经被侵入，直到某一天其它系统的管理员和他联系或者嗅探器的日志把磁盘全部填满，他才会察觉已经大祸临头了。但是，大多数攻击者在清理系统日志时不是非常小心或者干脆把系统日志全部删除了事，警觉的系统管理员可以根据这些异常情况判断出系统被侵入。不过，在系统恢复和清理过程中，大多数常用的命令例如ps、df和ls已经不可信了。许多rootkit中有一个叫做FIX的程序，在安装 rootkit之前，攻击者可以首先使用这个程序做一个系统二进制代码的快照，然后再安装替代程序。FIX能够根据原来的程序伪造替代程序的三个时间戳 (atime、ctime、mtime)、date、permission、所属用户和所属用户组。如果攻击者能够准确地使用这些优秀的应用程序，并且在安装rootkit时行为谨慎，就会让系统管理员很难发现。
详细情况请见：http://baike.baidu.com/view/350343.htm

[ 本帖最后由 tao1986126 于 2007-3-26 22:49 编辑 ]

地之雾

谢谢三楼的说明  。长知识了。

linziboy

可以理解为入侵隐身技术吧。
反rootkit技术也就是反隐身技术。