文档介绍：上海交通大学工学硕士学位论文 
第一章绪论
Rootkit 简介
随着计算机科学技术在全世界范围内的迅猛发展,世界各国的政治与军事,
以及各国人民的日常生活与经济文化都越来越离不开计算机。计算机技术的发展
改变了当代人的生活方式与节奏,同时大大推动了人类在各个科学领域的发展。
然而,计算机技术有它的脆弱性,黑客就是利用这些计算机技术的弱点,进行攻
击以获得他们所需的不法利益。
目前一项名为 Rootkit 的新技术正被黑客所利用。Rootkit 是一项针对操作系
统的技术,能够持续获得系统特权,同时通过破坏传统操作系统的功能或其他的
应用来隐藏它的存在[1]。最早 Rootkit 用于善意用途,但后来 Rootkit 大多被黑客
用在入侵和攻击他人的计算机系统上,因此 Rootkit 已被大多数防毒软件归类为
具危害性的恶意技术,Linux、Windows、Mac OS 等操作系统均可能成为 Rootkit
的受害目标[2]。
Rootkit 技术最早被用于 Unix 操作系统,Rootkit 是由“root”与“kit”两部
分组成,其中“root”代表 Unix 操作系统的根用户帐户,“kit”代表应用该工具
的软件部件。这样的称呼使它与恶意软件有着负面内涵的关联。
所有 Rootkit 基本上都是由几个独立的程序组成的,一个典型 Rootkit 包括[3]:
(1)以太网嗅探程序,用于获得网络上传输的用户名和密码等信息。
(2)特洛伊木马程序,例如 inetd 或者 login,为攻击者提供后门。
(3)隐藏攻击者的目录和进程的程序,例如 stat、rshd 和 ls 等。
(4)可能还包括一些日志清理工具,例如 zap、zap2 或者 z2,攻击者使用
这些清理工具删除 wtmp、utmp 和 lastlog 等日志文件中有关自己行踪的条目。一
些复杂的 Rootkit 还可以向攻击者提供、shell 和 finger 等服务。
典型地,一个攻击者通过利用一个已知的漏洞或破解一个密码首先获得一台
计算机根级别的权限,然后在计算机上安装一个含 Rootkit 技术的软件。一旦这
个含 Rootkit 技术的软件被安装以后,它允许攻击者隐藏活跃的入侵行为,同时
规避正常的身份认证和授权机制来持续获得计算机的特权。Rootkit 可以将矛头
指向固件、一个管理程序、内核或者更常见的、用户模式的应用程序。
Rootkit 的检测方式是复杂的,因为 Rootkit 技术可能会破坏准备寻找它的软
件。检测方法包括使用一个备用的、可信的操作系统、基于行为的方法、特征码
扫描、差分扫描和内存转储分析。彻底去除 Rootkit 类型的软件可能是复杂的或
者是不可能的,尤其是位于内核的 Rootkit,重新安装操作系统可能是唯一的选
1
上海交通大学工学硕士学位论文 
择。

Rootkit 发展历史
Rootkit 并不是一个新的概念。现代 Rootkit 所使用的许多技术与 20 世纪 80
年代期间病毒所用的技术是一样的。例如,修改关键的系统表、内存和程序逻辑。
最先将目标指向个人计算机平台的计算机病毒是在 1986 年,使用隐形技术来隐
藏自己;用于侦听的 Brain 病毒目标是读取引导扇区,重新定位这些信息到磁盘
上的别的位置,从而作为存有了原始的引导扇区的副本。随着时间的推移,DOS
隐形技术变得越来越复杂,使用高级技术如挂钩截获的 13 个 API 来隐藏对于文
件的修改[4]。
当微软公司引入 Windows NT 系统后,内存模型发生了变化,正常用户程序
再也无法修改关键的系统表。病毒技术的发展出现了迟滞。然而随着开
始发展到普及,到 20 世纪 90 年代早期,许多黑客纷纷指出如何发现和利用缓冲
区溢出漏洞来进行攻击,黑客开始渗入系统。在侵入计算机后,需要保持持续的
访问系统的能力,因此,第一个 Rootkit 面世了。通过替换关键的系统二进制文
件来达到隐藏的目的。例如,替换 ls 程序来隐藏特定的文件。针对这种情况,
系统管理员编写了能够检测文件是否被修改的工具。渐渐地,攻击者转移到系统
的内核中去。第一代内核 Rootkit 是针对 UNIX 系统编写的。
第一个针对 Windows NT 操作系统的 Rootkit 是创
始人 Greg Hoglund 在 1999 年发布的 NTRootkit,可以隐藏注册表项以及重定向
程序。随后,Rootkit 技术得到越来越多的关注,也逐渐发展到各种平台上。由
于 Windows NT