6-蠕虫木马病毒课件.pptVIP

RootKit（下） 与传统的木马相比，RING0木马的优势是什么？ （1）无进程 RING0木马编译后是一个SYS文件，它和DLL文件那样，是插入到进程里运行的。但RING0木马插入到地址在0上的系统区，而且所有进程共享，若其本身不提供unload例程很难被卸载，而且没有多少个工具可以列举系统里装载的SYS模块。 （2）无端口 RING0木马可以直接控制网卡收发包， 从而骗过系统和防火墙，因此可使用任何端口 或协议。也可通过使防火墙的NDIS驱动失效，突破其封堵。 （3）难发现，难查杀，生存能力强 由于Rootkit具有强大的隐藏技术，一般的系统工具都无法检测，并且处理极其困难，而编写者则需要对系统内核和通讯协议（尤其ntoskrnl.exe、hal.dll、ndis.sys）非常熟悉。 检测及清除工具： 进程注入式Rootkits较好处理，通过开机扫描（Startup Scan）功能都可以轻松清除。然而，对于驱动级的Rootkits，较好的处理是对Windows驱动程序加载点进行拦截，当发现Rootkits时自动使其保护功能失效。常用工具有icesword、darkspy、RootkitRevealer、 及瑞星卡卡上网安全助手（kaka）等。 内