笫11章安装注意事项.doc.doc

概述 本章将会帮助大家解决在设计rootkit的安装机制时会遇到的一些问题。其中有一些是标准的安装方法，这些方法在商业软件中占很大的比例，而在本章中介绍的另一些技术只会用在rootkit里。 本章包含下面的内容： 有意安装 无意安装 权限提升 持久性 使用ZwSetSystemInformation 注册表的设置 初始化文件 利用漏洞来安装 安装清理工作 测试 有意安装 在理想情况下系统管理员，终端用户和安全人员都会同意安装所需要的rootkit，当然在这种情况下它不被称作是一个rootkit，这将被称作是类似于过滤软件或者流出数据控制软件(outbound content compliance software)，重要的一点是这个软件是有意去安装的。 这并不是说这个软件就是理想的。当涉及到个人使用的公司财产时，大多数用户都不希望受到监视，因此，任何形式的监视都应该包含有一些合理的反馈信息，例如连接检测的信号或者定期的状态报告。在rootkit和监视系统之间的反馈还可以由一个部署环境中的集中控制器来提供一致性的简明系统报告。 另一种可以考虑的反馈形式就是数据取证。Rootkit技术是为监视员工量身定做的，这就需要对取证数据进行捕获，在rootkit设计初加入这种法律方面的考虑可以在客户问“我如何在法庭证明它”提供很多可能性。捕获取证数据功能不仅需要进行额外的处理和磁盘空