隐病毒

隐病毒（Rootkit）是一种专门针对操作系统的恶意软件，旨在隐藏或模拟操作系统内部的正常功能。一般流行的 Rootkit 分为两大类：Kernel Rootkit 和 Usermode Rootkit，后者又称为 Application Rootkit。

• Kernel Rootkit：攻击操作系统内核组件，如系统调用、驱动程序、文件系统等。

• Usermode Rootkit：攻击操作系统用户空间组件，如进程、文件系统、网络等。

Rootkit 的危害

• 隐藏攻击痕迹：通过篡改操作系统内核或进程空间，使进程、文件、目录等隐藏起来，让系统管理员难以察觉。

• 躲避检测：Rootkit 可以获取操作系统内核的权限，对检测产生“伪装”效果，很难被杀毒软件或系统监视器监测到。

• 攻击持久化：可实现投毒自启动项、篡改系统引导区等操作，以达到重启系统后自启动的目的。

• 黑客控制：安装后可让黑客远程控制受害计算机，进行各种违法犯罪活动。

检测与清除 Rootkit

一般而言，常规杀毒软件对 Rootkit 的检测率较低，甚至完全无法发现，因此最好使用专业的 Rootkit 检测和清除工具。

• Rootkit Hunter：可支持多种操作系统，能够检测出多种 Rootkit，但需要一定的命令行知识。

• RKDetector：运行速度较快，而且支持多种 Rootkit 的检测。

• GMER：功能强大，能够检测和清除多种 Rootkit，但可能会误报正常进程。

防范措施

• 经常更新防病毒软件：确保防病毒软件始终是最新版本，保护系统免受新出现的 Rootkit。

• 安装防火墙：通过设置网络访问规则，能够限制 Rootkit 的传输和安装。

• 关闭远程服务：白名单方式禁止远程服务进行 Rootkit 安装。

• 更新操作系统：许多操作系统更新都包含了针对 Rootkit 的安全补丁，同时也可以加强文件访问权限等措施，从而愉快地度过 Rootkit 攻击。