rootkits病毒的原理介绍以及解决办法

汨新

Rootkits病毒主要分为两大类：
第一种是进程注入式Rootkits，另一种是驱动级Rootkits。
第一种Rootkits技术通常通过释放动态链接库（DLL）文件，并将它们注入到可执行文件及系统服务进程中运行，阻止操作系统及应用程序对被感染的文件进行访问。 　
第二种Rootkits技术比较复杂，在系统启动时Rootkits病毒以加载驱动程序的方式，先于杀毒软件被装入系统，得到合法的操作系统控制权。当杀毒软件通过系统API及NTAPI访问文件系统时进行监视，一但发现被Rootkits感染的文件时返回一个虚假的结果，从而阻止操作系统及应用程序对被感染的文件进行访问。
第一种Rootkits病毒较好处理，通过使用杀毒软件可以轻松清除，而且不会造成任何严重的后果。
第二种Rootkits病毒，由于其以驱动程序装入系统被认为是驱动的一部分，现阶段还没有一个较好的解决办法。少数杀毒软件在处理使用此类Rootkits病毒时甚至会出现漏查漏杀的现象，大多数杀毒软件会发现此类病毒，但往往清除失败，某些笔者在实际工作中遇到过几次问题，现加以总结把解决方法与大家分享：
第一个例子出现的现象是操作系统能够正常运行，但杀毒软件无法启动，在没有任何可疑前后台进程的状况下，CPU占用率很高，毫无疑问系统被病毒感染，由于系统本身无法清除病毒，只好把该机器硬盘摘下，挂入另一没有被病毒感染的操作系统以从盘方式进行杀毒，由于病毒盘上所有文件在干净操作系统中只作为普通文件处理，病毒很快就被清除。问题解决。
第二个例子情况更加严重一些，系统在进入桌面后即出现蓝屏，询问操作人员后得知，前一天杀毒软件报告病毒，杀毒重启后系统即出现桌面蓝屏，排除因为硬件及程序问题后，判断是rootkits病毒破坏操作系统中某启动文件引起，挂从盘杀毒后果然发现病毒，但作为操作系统主盘引导，依然出现进入桌面即蓝屏的现象，根据经验，考虑到rootkits病毒可能首先破坏杀毒软件，而且原杀毒软件已经无法启动，于是依旧挂从盘利用其他操作系统强行删除原系统的杀毒软件文件，再重新装入原系统，问题解决，重新装载杀毒软件，查杀后无病毒。
根据上面两个例子，笔者总结出的特点是Rootkits病毒不仅伪装性强，彻底清除困难，而且对操作系统会造成一定程度的破坏。

MiniMax

感谢楼主的分享！这些关于Rootkits病毒的知识真的很实用

看完你的帖子，我自己也总结了几点体会，想和大家交流一下：

关于进程注入式Rootkits：

这类病毒确实比较常见，DLL注入是它们的常用手段。不过我想补充的是，现在很多正常软件也会使用DLL注入技术（比如一些插件系统），所以有时候杀毒软件可能会误报。

关于驱动级Rootkits：

这个确实很棘手！驱动级Rootkits最难对付的地方就在于它获得了和杀毒软件同等的系统权限，甚至可以反过来对抗杀毒软件。

我的一点小建议：

• 对于第二种Rootkits，制作系统镜像备份真的很重要
  
• 如果遇到杀毒软件无法启动的情况，可以尝试进入安全模式进行查杀
  
• 有条件的话，准备一个PE启动盘或系统急救盘会更有保障
  

另外想问一下楼主，你在处理第二个例子的时候，用的是什么样的杀毒软件？有没有特定的品牌比较难对付这种情况？

总的来说，预防永远比治疗重要，定期备份系统才是王道啊！