加强用户帐户安全的技巧 使您的Windows更加安全.pdfVIP

维普资讯 V 精华本 2007 同样在撰写本文时，至少有一家杀毒 注册表中的时间戳 ，R00t Revealer报告中 对于 RootKits开发者来说 ，找到其它 软件公司，F-Secure公司发布 了一个beta版 即会 出现这一差异 。 方法来针对 R00 tReveaIer的扫描只是一个 本的工具，用来探测 RootKits，该工具叫 另一个经常 出现的差异结果是发生在名 时间问题 ，这促使 Sysinternals不断进行升 做 “F-SecureBlacklightRootkitE¨mInation 称含有串终止字符的注册键 (如值为O的字 级加 以对抗 。所有的RootKits探测器都会招 TechnologY”。而其他公司肯定也会紧随 符 )上 ，这些名称对于WindowsAP 『是不 致与针对 目标相 同类型的攻击 ，随着探测 其后发布相应 的工具。 可见的，所 以用 “regedIt”这样 的工具 器越来越流行 ，RootKits开发者也会越来越 无法访 问这些键 。而 NativeAP 『能够看到这 致力于研究其弱点。具有讽刺意味的是 ， RootkitRevealer 些键名称 ，所 以一 些应用程序利用它们 隐 RootKits探测器也将使用 RootKit机制来隐 在 http：／／wwwsysinternaIscom ／ntw2k／ 藏授权信息或敏感数据。R00 tRevealer并 身 ，避免被 RootKits发现 。 freeware／rootkitrevealshtmI可以免费下载 没有对差异结果进行过滤的原因是 RootKits SYsinternals公司 的 RootKits探测工具 能够在最小 的数据 片中隐藏 自己的恶意程 RootKits对策 R00t Revealero R00tk；tRevealer通 过对 比 序 。 当发现系统 中存在利用 RootKit技术 的 系统两次在线扫描 的结果进行工作 ，一次 Root kits和恶意程序进程要想在 恶意程序时该怎么办呢?除非能够获得杀毒 扫描位于图2所示的最高层，即Windows RootkitRevealer眼皮底下藏身，就需要掩藏 软件厂商或CSS这样来源可靠的清除步骤， API层，另一次扫描则在最底层，即原始 能够泄密进程 的文件系统和注册表数据结 否则唯一的安全方法就是格式化磁盘并重新 文件系统和注册表数据层 。RootkitRevealer 构，由于许多数据结构并不公开，RootKits 安装 Windows。千万不要相信利用某些清 报告 出两次扫描的所有差异，如果一个文 如果能够进行修改，RootkitRevealer的探测 除工具的 ”重命名 ”功能能够除去 Root 件或注册表值 出现在底层扫描 ，而没有 出 将变得非常棘手，好在 目前还没有 RootKits Kits，因为 RootKits会采用 “防止重命名” 现在高层扫描 ，R00fkitRevealer即会进行提 达到这样 的狡猾程度 。 技术让工具失效，而更糟糕 的是，一些清 示。由于 RootkitRevealer不扫描 内存 ，所 但是这并不是说没有 RootKits可以攻击 除工具并不能发现 RootKits的所有组件 ，无 以无法探测经过直接内核对象处理掩藏的进 RootkitRevealer，实际上 ，CSS已经发现在 法彻底清扫整个系统。 程 ，但是 R00fkjtReveae『r能够发现躲过重启 至少一个用户 的系统上