本文轉貼自
資安論壇:
http://forum.icst.org.tw/
轉貼網址:
http://forum.icst.org.tw/phpbb/viewtopic.php?f=7&t=15837
小弟知道資安論壇很久了,目前網路上電腦中文資料
應該屬資安論壇最新,最完整齊全,與最俱閱讀價值
這篇文章小弟看了,頗有收獲,推薦給各位網友
轉貼開始:
=======================================================
隱藏程序(Rootkit) 的進化
本文章為病毒與防毒解決方案進化專題研究的第三篇。我認為進化是一連串具時間先後順序
與邏輯性的改變,因此,我將依照邏輯與時間的先後順序清楚地呈現各主題,使一般讀者能
夠輕鬆入門。
簡介
我第一次見到隱藏程序(Rootkit)是在2004 年,當時的我是一位隱藏程序(Rootkit)病毒分析
師,對UNIX 隱藏程序(Rootkit)還不是非常瞭解。某一天,當我在使用Windows 執行某樣
操作時受到了阻礙,我覺得這是一種極為趣的現象,於是仔細地觀察,發現載入模組清單上
出現了一個並不存在於磁碟上的檔案。當時的我非常幸運,因為只有在該隱藏程序碼出現錯
誤時,我才能親眼看見,而現在,我反而需要使用許多專門的工具才有辦法發現隱藏程序
(Rootkit)的蹤跡,甚至有時連專門的工具仍不敷使用。
當時我所發現的隱藏程序(Rootkit),還稱不上是第一個Windows 隱藏程序(Rootkit),但對我
而言,已是一種全新的體驗,而此體驗為我開啟了新世界的另一扇窗,讓我瞭解到程式原來
可以將作業系統玩弄於股掌之間,其不僅可破壞規則,還可神奇地消失在處理程序與檔案清
單中。我不斷研究用於隱藏在系統程式中的驅動程式,Trojan-Dropper.Win32.SmallProxy 即是
專門為了鎖定特定系統,以及在特定位置部署程式而設計,在當時是屬於非常複雜且稀有的
程式。
本篇文章主要在探討數量最多的Windows 隱藏程序(Rootkit),由於Windows 是現今最普及
的作業系統,病毒作者亦廣為使用Windows 隱藏程序(Rootkit),而致使它們不斷地持續進
化,為使用者帶來嚴重的威脅。我將隱藏程序(Rootkit)定義為利用隱藏技術隱藏如:檔案、
程序、驅動程式、服務、登錄檔、金鑰、開放連接埠、連線等系統物件,躲避標準系統機制。
UNIX 隱藏程序(Rootkit)
在探討隱藏程序(Rootkit)時,一定要先解釋「rootkit」此術語的詞類意涵。「root」在UNIX
系統中代表擁有所有權限的管理員,而「kit」則是工具組的意思,因此顧名思義,「rootkit」
就是一組為惡意人士所利用,在正牌管理員未察覺的情況下存取系統的工具。這類工具最早
是出現在90 年代初期的UNIX 系統中,至今它們的蹤跡依然存在,卻未有明顯的進化。
然而重點是,雖然Windows 隱藏程序(Rootkit)係沿用來自Unix 系統「Rootkit」的名稱,事
實上此種惡意程式卻是源自於DOS 系統的隱形病毒,而非UNIX 隱藏程序(Rootkit)。
隱形病毒
DOS 隱形病毒約在1990 年時出現,幾乎是與UNIX 隱藏程序(Rootkit)同時甚至更早出
現。由於UNIX 隱藏程序(Rootkit)能遮蔽本身存在的設計,避免系統察覺,以便讓作者能進
行存取動作,但DOS 隱形病毒和UNIX 隱藏程序(Rootkit)不同的是,其僅可隱藏本身的存
在,讓使用者與防毒軟體程式皆無法察覺,但這也恰好是Windows 隱藏程序(Rootkit)的典型
動作。Windows 隱藏程序(Rootkit)目前所使用的手法就非常類似DOS 隱形病毒所使用的技
術,舉例來說,隱形病毒會利用傳遞錯誤資料或記憶體內容,攔截系統呼叫與遮蔽惡意程式
碼等技術,Windows 隱藏程序(Rootkit)也同樣會廣泛使用這些技術。
Windows 隱藏程序(Rootkit)雖是在10 年後才出現,這些新種的程式隱藏病毒卻並未另外命
名,而成為如今廣為人知的隱藏程序(Rootkit),是因為Greg Hoglund 的關係。他是首先結合
多樣技術建立隱藏系統資料工具,藉此逃避Windows 系統防護功能的創始者之一,當他將
此結果發布在電子雜誌PHRACK (http://phrack.org/issues.html?issue=55&id=5#article) 上時,
即將此工具命名為NT Rootkit,之後許多惡意軟體便持續利用此程式,即使至今日,NT Rootkit
仍是病毒研究者與隱藏程序(Rootkit)作者的靈感來源。
起源與普及化
Hoglund 於1999 年發表的文章,係以前一年由一位斯里蘭卡程式設計者發表在Usenet 中以
Windows 核心的研究為基礎(請參閱http://www.cmkrnl.com/arc-newint2e.html for details)。
回溯至1995 年,Windows 程式設計教父Jeffrey Richter 在他的知名著作《Advanced
Windows》與第四版《Programming Applications for MicrosoftWindows》中,揭露在使用者模
式中攔截系統呼叫的技術,此項技術在日後被許多隱藏程序(Rootkit)廣為使用,甚至直接複
製書中原始碼。
攔截核心模式系統呼叫的技術是經由以下兩本經典程式設計手冊公諸於世,分別是在2001
年發行,Schreiber 所著的《UndocumentedWindows 2000 Secrets》,以及1999 年發行,由P.
Dabak 等所著的《UndocumentedWindows NT》。
史上第一個Windows 隱藏程序(Rootkit)
許多研究人員都在不斷地研究Windows 系統的防護功能,因此在NTRootkit 發布不久後,
就有其他幾項設計用於隱藏作業系統物件的工具也相繼出現:
2000-由俄籍程式設計者設計的he4hook。此工具不是惡意程式,卻具有隱藏檔案的
功能,且是在核心模式中運作,有趣的是,就連作者都不稱此程式為隱藏程序(Rootkit)。
2002-Hacker Defender (aka HacDef),此為具備強大功能的工具:透過靈活的設定檔設
定,隱藏檔案、處理程序以及登錄機碼,也是在核心模式中運作。
2003-Vanquish,本工具可隱藏檔案、目錄以及登錄機碼,除此之外,還具有惡意程
式的負載特質-紀錄密碼。Vanquish 可在使用者模式中運作。
由以上與此議題有關的研究結果,我們可以明顯看出由起初設計概念中立的工具,漸漸轉變
為別有用途的工具,甚至出現惡意程式的演變過程。
2003-Haxdoor(aka A-311 Death 與Nuclear Grabber,相同程式的變種),不僅是一項
工具而已,更是一項後門程式,可利用隱藏程序(Rootkit)技術隱藏其存在於系統中的
蹤跡。主要活動於使用者模式中。
2004-FU,係為隱藏處理程序工具。此工具係採用新技術,且不會修改至系統的存取,
反而會修改系統本身結構,並可在核心模式中運作。
以上清單雖未臻詳盡,但包含了欲瞭解Windows 隱藏程序(Rootkit)進化過程時,必須知道的
關鍵隱藏程序(Rootkit),特別是:HacDef、Haxdoor 以及FU。這3 種隱藏程序(Rootkit)已
被廣泛設計成與其他惡意軟體搭配使用。
2000 年至2004 年的隱藏程序(Rootkit),已可與標準(過時)分類系統完美結合:只要利用
Execution Path Modification 或Direct Kernel Object Manipulation,便可在使用者與核心層級運
作。此分類系統是屬於老生常談的議題,有興趣的讀者可至以下網址獲得更多資訊:
http://www.securitylab.ru/contest/212106.php(俄文) http://z-oleg.com/secur/articles/rootkit.php;
http://www.securityfocus.com/infocus/1850
隱藏程序(Rootkit)-數量倍增
隱藏程序(Rootkit)在進化的同時,許多惡意程式也會將隱藏程序(Rootkit)嵌入其中。當時要單
獨建立隱形技術並不容易,因此與此領域有關的撰寫資料不多,而這些為數不多的惡意隱藏
程序(Rootkit),還可分為以下三類:
使用現成工具與程式庫隱藏蹤跡的木馬程式,此類勢不可擋的木馬程式,大多數是使
用Hacker Defender 與FU。
使用者可在下載或購買現成的惡意隱藏程序(Rootkit)後,再自行修,其中的Haxdoor 即
為一例。HacDef 與Haxdoor 曾在2005 年秋季時氾濫成災,卡巴斯基實驗室幾乎每天
都必須新增約10 項病毒碼,對抗Haxdoor 新變種。
專為特定攻擊而撰寫的自訂隱藏程序(Rootkit)。防毒廠商通常是從客戶(通常為大企
業)處,直接得知隱藏程序(Rootkit),一般而言,網路管理員在無法辨識問題的肇因
時,通常會由病毒分析師則在現場以手動法進行調查。雖然隱藏程序(Rootkit)的數量
不多,但是以上所列舉的範例都具有極高的技術複雜度。
至2005 年時,留存的隱藏程序(Rootkit)有近8 成均為HacDef 與Haxdoor 的變種。Rbot
與SdBot 是第一個被木馬程式採用作為隱藏程序技術(rootkit technologies)的多功能後門程
式, 使用動機顯而易見是為了提升商業木馬程式的整體功能,以便成為可為作者與/或控制
者賺取更多商業利益的技術,因此最初始的主人即是第一個理解隱形/隱藏程序技術(rootkit
technologies)好處的人。
到了2006 年,隱藏程序技術(rootkit technologies)已被廣泛應用於Bagle 等一般電子郵件蠕
蟲、Goldun 等木馬間諜程式,以及Rustock 等Mailbot 程式中,此一發展情勢對防毒廠商
而言,是一項重大的挑戰。
然而,在木馬程式普遍使用隱藏程序(Rootkit)作為標準配備之時,仍有許多獨立或量產的防
隱藏程序(anti-rootkit)工具相繼上市,兩方力量因此獲得平衡。
隱藏程序(Rootkit)與醜聞
到2005 年,大眾傳播媒體(特別是安全防護廠商)開始重視惡意軟體濫用隱藏程序(Rootkit)
的情形,Microsoft 就是發起RSA 相關議題的代表。
2006 年,有多項軟體與硬體產品爆發與隱藏程序技術(rootkit technologies)有關的醜聞,顯示
隱藏程序(Rootkit)已演變成公眾議題。
1. Sony CD 中的Sony DRM 複製防護功能,可隱藏讓使用者無從察覺的檔案,除此之
外,此技術的執行方式也出現了極為嚴重的漏洞:任何人都可使用特定方式命名檔案,
並可使用Sony DRM 技術隱藏檔案。
2. Symantec 的產品中也具備類似的功能:可隱藏使用的目錄,不讓使用者察覺,不過此
事件只是一個笑話,因為由該公司歸檔的Symantec 「防護籃」竟能輕易地停用。事
實上,將檔案隱藏在資料夾的概念已不新奇,將檔案隱藏在使用者根本不會注意的系
統樹狀目錄深處才是最新的概念。
3. 接下來與隱藏程序(Rootkit)有關的醜聞,則是KasperskyAnti-Virus 親身經歷的事件,
亦即其產品淪為紀錄檔案流的特定資料,也就是使用者不易察覺的檔案系統。也許大
眾對隱藏程序(Rootkit)所帶來的威脅仍不甚瞭解,但是「隱藏程序(Rootkit)」這個詞彙
卻嚇壞了所有人。
歇斯底里的防隱藏程序(anti-rootkit)
隱藏程序(Rootkit) 進化的另一項重大因素, 即是歇斯底里地同時進行防隱藏程序
(anti-rootkit)。在2006 年中,所有防毒大廠幾乎皆有針對隱藏程序(Rootkit)帶來的威脅,採取
反制行動的共識,因此各家廠商開始分頭進行,有些廠商修改其產品,使其能在執行一般防
毒掃描時存取隱藏物件,而其他廠商則是發行獨立的防隱藏程序(anti-rootkit)工具。不過,仍
有部分廠商選擇妥協,他們在產品中加入防隱藏程序(anti-rootkit)掃描功能,透過產品操作介
面執行此功能。
事實上,上述措施沒有一項是成功的,就像是在馬兒跑遠了之後才將柵門鎖上一樣,於事無
補。
當時在事件愈演愈烈的情況下,首先採取行動的防毒大廠為F-Secure,其於Sysinternals 發
布Rootkit Revealer 不久後,便推出了一項防隱藏程序(anti-rootkit)工具,但F-Secure 工具是
採用概念驗證型的技術,僅能偵測隱藏程序(Rootkit)。
獨立廠商防隱藏程序(anti-rootkits)
獨立廠商防隱藏程序(anti-rootkit)工具出現的時間還要更早,約在2005 年時。其不似防毒廠
商所推出的解決方案,需要強調能保護使用者的防護功能,這些免費工具的作者一心只想盡
可能找出更多的隱藏資料,因此獨立廠商工具通常更為專業、功能更為強大,且更能隨著環
境隨機應變。
第一套防隱藏程序(anti-rootkit)工具是為顯示像隱藏檔案這種單一類型的物件而設計,但隨著
時間的演進,這套工具已逐漸發展為採用系統化方式作業的多功能工具。目前最常見的防隱
藏程序(anti-rootkit)工具是GMER (http://gmer.net) 以及Rootkit Unhooker (http://antirootkit.
com/software/RootKit-Unhooker.htm)(後者已不再支援),這兩項工具皆可快速執行系統各狀
況的粗估分析,亦可視需要執行更深層、更專業的分析。
至今至少已有20 項免費的防隱藏程序(anti-rootkit)工具(http://antirootkit.com/software/index.htm),
皆是以數個偵測隱藏程序(Rootkit)的方法為主(如需詳細資訊,請參閱http://z-oleg.com/secur/
articles/rootkit.php 與http://www.securityfocus.com/infocus/1854),但是這場戰火仍在持續延燒
中。其中一種最新的隱藏程序(Rootkit)是使用Bluepill 技術(即硬體虛擬化)進行進化,現
有的技術根本無從偵測,而且市面上也沒有可偵測使用Bluepill 技術的隱藏程序(Rootkit)工
具,因此全方位的防隱藏程序(anti-rootkit)工具並不存在。另外一方面,使用此技術的全功能
惡意程式並不存在,僅有概念驗證碼。
然而,仍有專為這些假設性威脅研發偵測功能。我注意到Russian North Security Labs
(http://northsecuritylabs.com) 與American Hypervista Technologies (http://hypervisor.com/) 皆
是正在進行中的隱藏程序(Rootkit)研究專案。目前Hypervista 僅發布了一些理論資訊,而
North Security Labs 則已在網站上提供Hypersight Rootkit Detector 試用版,雖然這些專案計
畫才剛起步,卻已饒富趣味。
概念驗證型隱藏程式
到了2006 年,防隱藏程序(anti-rootkit)工具已皆可偵測出大部分隱藏程序(Rootkit),而隱藏程
序(Rootkit)的風潮也開始褪去,當然這也促使研究人員(白帽與黑帽)又開始研究新一種無
法偵測出的技術。
大多數的研究人員都將重點集中在,使用硬體虛擬化的概念(整合至新的Intel 與AMD 處
理器)控制作業系統,此方法也許可建立現有防隱藏程序(anti-rootkit)工具無法偵測的隱藏程
序(Rootkit)。
在2006 年時,已發布了以下3 項概念驗證型隱藏程式:SubVirt
(http://www.eecs.umich.edu/virtual/papers/king06.pdf)、BluePill (http://blackhat.com/presentations/
bh-usa-06/BH-US-06-Rutkowska.pdf) 以及Vitriol (http://www.blackhat.com/presentations/bh
-usa-06/BH-US-06-Zovi.pdf)。此類隱藏程序(Rootkit)在撰寫反制防護軟體期間無法偵測出來,
不過,幸好這類隱藏程序(Rootkit)尚未流行(據我們所知)。
另外一個研究人員關注的重點,在於可在開機磁區(現在他們稱做Bootkit)運作的隱藏程序
(Rootkit),此類隱藏程序(Rootkit)可在開機時取得系統的完全控制權,此技術可追溯至DOS
時代的開機型病毒。第一個出現鎖定開機磁區採取攻擊的概念驗證型隱藏程式(proof of
concept rootkit),是2005 年的eEye Bootroot
(http://www.blackhat.com/presentations/b ... soeder.pdf) , 而2007 年出現的
Vbootkit (http://www.blackhat.com/presentations/b ... n/bh-eu-07
-kumar-apr19.pdf) 也是具類似概念的驗證型隱藏程式,它的出現在當時曾造成一項最熱門的
研究話題-Vista 的安全性。
目前趨勢
經過一段長時間未曾出現新型隱藏程序(Rootkit)後,防毒產業在2008 年又面臨了新的挑
戰,出現了據稱可感染開機磁區的新種惡意軟體,目前的已知名稱有:Sinowal、Mebroot 以
及StealthMBR,而且現有的大部分防毒解決方案,都無法順利偵測出此類惡意軟體,更別說
解毒了。
此項在開機順序時執行的隱藏程序(Rootkit),由於是以eEye Bootroot 程式碼為基礎,因此泛
稱為Bootkit。用以藏木馬程式的個別惡意軟體工具原本就不多,由此似乎可推敲出Sinowal
是由特定族群所共用(可能是費用問題),不過,我們嘗試了許多方法,仍無法發現其蹤跡。
雖然較少人關注此問題,然而最近仍出現了另一項使用CmRegisterCallback 的重要技術,這
是由Microsoft 所建立,用以協助開發者隱藏登錄檔中的物件。幾項複雜的惡意程式,包含
Bulknet 在內也是利用此項技術。
虛構的隱藏程序(Rootkit)
2006 年的年底,安全防護產業中颳起了一陣Rustock.c 旋風,謠傳其可能是無法偵測的新型
隱藏程序(Rootkit),且據稱是Rustock 垃圾郵件傀儡蟲系列的最新力作。經過一年半之後,
俄國防毒公司Dr.Web 的研究人員,宣稱發現了Rustock.c 的樣本並已分析其蔓延程序,但
因資料不足,故迄今仍無法斷定其威脅程度,若由Dr.Web 所提供的日期推斷,此隱藏程序
(Rootkit)的建立時間似乎是在2007 年9 月而不是2006 年底。
基本上,Rustock.c 並非無法偵測,因為此程式未採用任何最新技術,所以無法偵測,不過,
要躲避目前的防護方式並非完全不可能,仍有少數惡意程式可以躲過現有的安全防護措施。
簡言之,Rustock.c 掀起風潮的資訊層面遠大於實質技術層面,雖然此謠言直至2006 年底仍
未被證實,但是它們確實會對未來事件造成影響。不過,當一個實際的樣品終於出現後,大
眾仍會因可窺見此「無法偵測」的隱藏程序(Rootkit),而感到興奮,雖然Rustock.c 實際的技
術層面並無可特別令人感興趣之處。我個人即認為,Rustock.c 的確在業界引起軒然大波,但
對技術的躍進卻沒什麼貢獻。
更多有關Rustock.c 歷史的詳細資料,可至以下網站查詢:
http://www.viruslist.com/en/analysis?pubid=204792011
非Windows 隱藏程序(Rootkit)
有時病毒實驗室會從如Solaris 此類較不普及的UNIX 系統中,取得目標隱藏程序(Rootkit)
的樣本。因為此種組織不會監控其伺服器、距離設定時間已有一段時間,且自設定後就會再
進行更新的系統,最容易遭駭客攻擊並植入隱藏程序(Rootkit),而且在數年後偵測到時,許
多企業資料或機密資料都已流失,而造成金融損失。
OS X (Macintosh) 有數個專為其撰寫的隱藏程序(Rootkit),也有為此作業系統而設計的防隱藏
程序(anti-rootkit)工具:OS X Rootkit Hunter。既然OS X 是以Unix 為基礎的作業系統,基
本上只要稍微修改UNIX 隱藏程序(Rootkit)後,應該即可在OS X 中使用,但整體上針對
Mac 設計的隱藏程序(Rootkit),並没有明顯進化,也沒有帶來重大威脅。
據我所知,如:Windows Mobile、Symbian 等行動裝置的作業系統,至今尚未遭隱藏程序
(Rootkit)攻擊,不過,也有少數惡意軟體是針對執行這些作業系統的裝置而設計的。而僅少
部分的人使用市面上的防毒解決方案,因此隱藏程序(Rootkit)的應用就顯得多餘。
類似隱藏程序(Rootkit)的程式
在本文章中,我將盡量避免將事件解釋為惡意軟體的實證,有些惡意軟體並不能算是隱藏程
序(Rootkit),絕大多數的研究人員也不會將之貼上隱藏程序(Rootkit)的標籤。可是,如果我們
將隱藏程序(Rootkit)定義為一種可躲避作業系統安全系統,並可隱藏其活動的程式,就很難
界定以下詳細說明的惡意軟體。
首先,惡意軟體隱藏在作業系統中卻並無惡意,此程式既不會修改系統也不會躲避系統中已
建立的安全系統,舉例來說,有些惡意程式是位於目錄或檔案資料流之中,而有些程式則會
利用已知的系統功能安裝事件攔截程序。此類程式雖然具有隱形行為,但不能歸類為隱藏程
序(Rootkit)。
第二,有些程式(programs)之所以具有隱形功能,是因程式本身的內部結構所造成,例如:
CodeRed 蠕蟲(http://www.viruslist.com/en/viruses/enc ... usid=23374),此程式既不會
在磁碟中建立檔案,也不會在記憶體上執行任何程序。
第三,許多複雜的技術都可以矇騙作業系統,只要利用惡意程式鑽進系統漏洞或躲避防毒解
決方案即可,不需隱藏活動蹤跡。
隱藏程序(Rootkit)-結語
從上述所列舉的灰色地帶範例中,我們可以獲得一項結論,就是沒有惡意的隱藏程序
(Rootkit),隱藏程序(Rootkit)僅是一種可以躲避系統防護並隱藏系統程式的隱形技術。即如同
其他強大的科技,也有好、壞兩方在運用這些技術,舉例而言,主動的防隱藏程序(anti-rookits)
通常採用以毒攻毒的方法,使用如攔截系統功能等與隱藏程序(Rootkit)相同的方式進行防護。
由於這些技術在某種程度上都可歸類為隱藏程序(Rootkit),因此分析到最後,隱藏程序(Rootkit)
的定義究竟是大眾普遍認同的定義,還是少數專家具權威性的意見呢?
為什麼一定要有明確的定義?因為在沒有明確定義的情況下,我們可能會陷於灰色地帶案例
的爭論,例如某產品偵測到所謂的隱藏程序(Rootkit)等事件。在事件發生後,重要的是應詳
細分析案例中的程式碼與技術,而不是草率地貼上隱藏程序(Rootkit)的標籤,因為此作法不
僅會造成恐慌,也會引起無謂的軒然大波。
例如,在KasperskyAnti-Virus 中識別出的所謂隱藏程序(Rootkit)
(http://www.pcworld.com/article/id,12436 ... icle.html; http://www.kaspersky.com/news?id
=177718126) 時,本產品係使用妥協方式的技術,將服務資訊放在系統資料流中,意即將資
料放在無法直接監控的檔案系統區中。
這是否屬於躲避作業系統的技術?答案是否定的,因為資料流是屬已知的作業系統功能。在
這些資料流中的隱藏資料會出現惡意活動嗎?答案也是否定的,其於此案例中僅會隱藏服務
資訊。此技術是否存有漏洞?會不會為惡意目而使用? 答案是否定的,因為惡意使用者僅能
利用資料流隱藏惡意程式碼(許多惡意程式早已採用此技術),這是屬於作業系統漏洞,並非
應用程式漏洞。那麼… 隱藏程序(Rootkit)會在什麼地方?不在KasperskyAnti-Virus 中,就此
而言,當系統漏洞與應用程式漏洞造成混淆時,即不存在於其他產品中。
Sony DRM 事件則屬於特例。複製防護功能所採用的技術的確會造成漏洞,因為此技術可讓
惡意使用者有能力命名惡意軟體並隱藏其蹤跡,我們也注意到目前已有許多惡意程式開始廣
泛利用此漏洞,但平心而論,惡意程式往往是在漏洞曝光或經討論後才出現。
下圖顯示事件順序,從首次出現的隱藏程序(Rootkit)前身,經研究後肆虐成災的隱藏程序
(Rootkit),至引起IT 安全業界波瀾的隱藏程序(Rootkit)。
結論
整體而言,隱藏程序(Rootkit)的進化過程與間諜軟體相同。隱藏程序(Rootkit)是在先被視為另
成一類的惡意軟體後,再經媒體大肆宣傳而引起防毒產業的注意,其後即推出許多防隱藏程
序(anti-rootkit)工具與產品反制。今日的隱藏程序(Rootkit)與間諜軟體均已成為普遍的惡意軟
體趨勢,不再受到大眾關注,然而,躲避系統功能隱藏物件的概念,卻已非常明確,因此,
我們相信未來仍有可能會出現使用隱形技術的新威脅。
http://210.240.1.23/~kaspersky/Document ... kit_ev.pdf
=======================================================
轉貼結束:
希望各位不要以為知名防毒,就能保護電腦不中毒
