rootkit是一个复合词,由root和kit两个词组成。高防服务器root是用来描写具有盘算机最高权限的用户。另一方面,kit被 Merrian-webster定义为工具和实现的集合。因此, rootkit是组能获得盘算机系统root或者管理员权限对盘算机进行访问的工具。但在恶意软件领域,我们将 rootkit定义为一组在恶意软件中获得root访问权限、完整把持目标操作系统和其底层硬件的技巧编码。通过这种把持,恶意软件能够完成件对其生存和持久性非常重要的一件事,那就是在系统中暗藏其存在。
术语 rootkit已经成为恶意软件的同义词,并且用来描写具备 rootkit能力的恶意软件。严格地说, rootkit不是恶意软件,而是恶意软件用来施展自身优势的一种技巧。同样的技巧也被合法程序利用。唯一的差别是意图。恶意软件用它是带有恶意的目标。
环境的结构
在深入研究 rootkit之前,懂得 rootkit运行环境的结构是很重要的。在后续例子中,我们将重要关注采用英特尔处理器、运行 Windows操作系统的环境。
操作系统内核
内核是操作系统的重要组成部分。它作为利用程序和硬件之间的桥梁,负责管理系统资源和处理来自利用程序的恳求。
Windows内核的设计具有较强的机动性。因此,它可以被修正或扩大。内核的修正是通过应用可装载内核模块(LKM)完成的。LKM是段可以加载到内核中的代码,应用后可以卸载。它扩大了内核的功效,如添加对新硬件、文件系统或系统调用的支撑,而不需要重启系统。设备驱动程序就是一种常见的内核模块,它能让内核访问该驱动程序所对应的具体硬件设备。例如,如果用户想访问和应用内置在笔记本电脑的网络摄像头,一定要安装或加载摄像头的相应驱动程序来让它工作。
如果没有可装载内核模块技巧,操作系统开发者一定要提前考虑内核需要的所有功效,这个请求非常高。另外,把它们全部编译进内核会导致内核非常宏大,它们会占用大批存储空间,因为即使没有用到,所有的功效仍然都会被加载到内存中。该方法的另一个毛病是,当需要增长初始设计中没有的新功效时,每次都要重新编译和重启内核。
注意 NTOSKRNL.exe是 Windows的内核。在支撑物理地址扩大(PAE)的系统中,内核是 NTKRNLPA.exe。
Windows内核代码在系统中以最高权限运行,贴切地称之为内核态。因为不是所有的软件都需要把持系统资源和硬件,这些利用程序只需运行在更低的权限模式下,称为用户态。两者的差别是内核态可以无穷制地访问所有系统资源和底层硬件,它的过程空间也是系统领域内的。这就是为啥内核态是为最受信任和最稳固的功效保存的,因为一旦出错,全部系统将会崩溃。同时,用户态更受限制,没有直接访问任何系统资源和硬件的权限,对这些资源的访问是由Windows利用程序编程接口(API)供给的。运行在用户态的利用程序有它们自己的私有虚拟地址空间和私有句柄表。因为它的过程空间是私有的,不像内核态是全局的,一次崩溃只会影响该利用程序,其他运行在用户态的利用程序也不会被影响,最重要的是用户态的程序崩溃不会使全部系统崩溃。
