恶意软件
Rootkit
别称: 隐身工具包, 根权限恶意软件
定义
一种隐蔽性极强的恶意软件,可在操作系统或设备上获得并隐藏特权访问权限,使常规工具难以检测。
Rootkit 是一组工具或内核/固件组件,旨在让攻击者获得持久的高权限访问能力,同时将文件、进程、注册表项和网络连接对防御者隐藏。Rootkit 可工作在不同层级:用户态(API 钩子)、内核态(修改内核)、Bootkit(引导加载程序)或固件(UEFI/BIOS)。通常在初始入侵之后被植入,用于长期驻留并阻碍取证分析。检测需要内存取证、完整性校验、安全启动、具备内核可见性的 EDR 以及离线扫描。缓解措施包括启用 UEFI 安全启动、强制签名驱动、基于 TPM 的远程证明,以及尽量减少内核态软件。
示例
- 针对 Windows 的长期活跃内核态 rootkit 家族 TDL/TDSS。
- 用于掩盖点击欺诈与比特币挖矿载荷的 ZeroAccess。
相关术语
引导级恶意软件(Bootkit)
感染 MBR、VBR 或 UEFI 等引导过程的恶意软件,可在操作系统之前加载并获取持久的特权控制。
UEFI 根套件
植入 UEFI 固件中的 Rootkit,先于操作系统加载,能在磁盘擦除后继续存在,并绕过大多数端点安全产品。
BIOS 根套件
感染传统 BIOS 固件的 Rootkit,在操作系统启动前执行,实现位于操作系统下层的深度驻留。
隐蔽型恶意软件
通过隐藏、伪装与反分析手段,专门设计用于规避用户、安全工具和取证人员的恶意软件。
固件恶意软件
驻留在设备固件(BIOS/UEFI、网卡、硬盘或外设)中的恶意代码,可以在重装操作系统和大多数端点防御之后继续存在。
恶意软件
任何被故意设计用于破坏、损害计算机、网络或数据,或对其进行未经授权访问的软件。