9.13. Rookit

1.0

1.0

渗透测试学习笔记 /

安装rookit

rookit是一种非常危险的恶意软件形式。这种类型的恶意软件从内核级植入到计算机中，可以提供远程访问、系统信息和数据信息、执行侦察行动、安装软件以及执行许多其他任务，所有这些行为都不会向系统或用户暴露其存在。

rookit最早出现于20世纪90年代，经过多年的演变，他变得更加危险。事实上，现代版本的rookit可以将其自身嵌入操作系统的内核，从而可以从根本上改变操作系统本身的行为。它们可以拦截来自操作系统（外延到应用程序）的请求，并用虚假信息响应。由于rookit通常设计为从操作系统和系统日志隐藏其进程，因此难以检测和删除。

在理想情况下，采用之前叙述的方法，例如木马程序，攻击者可以快速有效地将rookit植入系统中。接收恶意内容的用户可能无意中激活rookit并将其安装到系统中。安装过程快速而隐秘，不会显示任何危险信号。在其他情况下，仅仅是浏览网页时访问受感染网站的行为就足以导致感染。

在安装rookit后，只要目标计算机联机，黑客即可秘密的与其通信，以触发任务或窃取信息。在其他情况下，rookit可用于安装更多的隐藏程序，并在系统中建立“后门”。如果黑客想窃取信息，可以安装一个键盘记录程序。该程序将在在线和离线状态下，秘密记录受害者录入的所有内容，并在下一次有机会时，将结果提供给攻击者。

rookit的其他恶意用途包括攻击数百甚至数十万台计算机，形成一个称为“僵尸网络（botnet）”的远程“rookit网络”。僵尸网络用于向其他计算机发动分布式拒绝服务（DDoS）攻击，发送垃圾邮件、病毒和木马。这项活动如果追溯到发件人，可能会导致rookit网络的受害者被当成有恶意目的的攻击者。

本文章首发在 LearnKu.com 网站上。

版主 2.3k 声望

在牛马时代做快乐的猪狗

讨论数量: 0

发起讨论只看当前版本

暂无话题~