Rootkit是指其主要功能為隱藏其他程式進程的軟件，可能是一個或一個以上的軟件組合；廣義而言，Rootkit也可視為一項技術。那么Rootkit究竟是什么呢？它又擁有何種功能呢？在后邊的文章里，會為大家一一解釋。

rootkit是什么

在網絡安全中經常會遇到rootkit，NSA安全和入侵檢測術語字典( NSA Glossary of Terms Used in Security and Intrusion Detection)對rootkit的定義如下：A hacker security tool that captures passwords and message traffic to and from a computer. A collection of tools that allows a hacker to provide a backdoor into a system, collect information on other systems on the network,mask the fact that the system is compromised, and much more. Rootkit is a classic example of Trojan Horse software. Rootkit is available for a wide range of operating systems. 　　

好多人有一個誤解，他們認為rootkit是用作獲得系統root訪問權限的工具。實際上，rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權限的工具。通常，攻擊者通過遠程攻擊獲得root訪問權限，或者首先密碼猜測或者密碼強制破譯的方式獲得系統的訪問權限。進入系統后，如果他還沒有獲得root權限，再通過某些安全漏洞獲得系統的root權限。接著，攻擊者會在侵入的主機中安裝rootkit，然后他將經常通過rootkit的后門檢查系統是否有其他的用戶登錄，如果只有自己，攻擊者就開始著手清理日志中的有關信息。通過rootkit的嗅探器獲得其它系統的用戶和密碼之后，攻擊者就會利用這些信息侵入其它的系統。

rootkit的功能

最早Rootkit用于善意用途，但后來Rootkit也被黑客用在入侵和攻擊他人的電腦系統上，電腦病毒、間諜軟件等也常使用Rootkit來隱藏蹤跡，因此Rootkit已被大多數的防毒軟件歸類為具危害性的惡意軟件。Linux、Windows、Mac OS等操作系統都有機會成為Rootkit的受害目標。 Rootkit出現于二十世紀90年代初，在1994年2月的一篇安全咨詢報告中首先使用了rootkit這個名詞。這篇安全咨詢就是CERT-CC的CA-1994-01，題目是Ongoing Network Monitoring Attacks，最新的修訂時間是1997年9月19日。從出現至今，rootkit的技術發展非常迅速，應用越來越廣泛，檢測難度也越來越大。 　　

Rootkit是一種奇特的程序，它具有隱身功能：無論靜止時（作為文件存在），還是活動時，（作為進程存在），都不會被察覺。換句話說，這種程序可能一直存在于我們的計算機中，但我們卻渾然不知，這一功能正是許多人夢寐以求的——不論是計算機黑客，還是計算機取證人員。黑客可以在入侵后置入Rootkit，秘密地窺探敏感信息，或等待時機，伺機而動；取證人員也可以利用Rootkit實時監控嫌疑人員的不法行為，它不僅能搜集證據，還有利于及時采取行動！

【編輯推薦】

1. 安全研究人員要示范用rootkit遙控Android手機
2. 黑帽安全大會將揭示ATM機多平臺rootkit工具
3. 后門技術和Linux LKM Rootkit詳解
4. Linux下用gdb檢測內核rootkit的方法
5. 入侵監測系統的構建(chkrootkit)