Rootkit

Rootkit是指其主要功能为：隐藏其他程式行程的软体，可能是一个或一个以上的软体组合；广义而言，Rootkit也可视为一项技术。在今天，Rootkit一词更多地是指被作为驱动程式，载入到作业系统核心中的恶意软体。因为其代码执行在特权模式之下，从而能造成意料之外的危险。最早Rootkit用于善意用途，但后来Rootkit也被骇客用在入侵和攻击他人的电脑系统上，电脑病毒、间谍软体等也常使用Rootkit来隐藏踪迹，因此Rootkit已被大多数的防毒软体归类为具危害性的恶意软体。Linux、Windows、Mac OS等作业系统都有机会成为Rootkit的受害目标。

在现代作业系统中，应用程式不能直接存取硬体，而是通过呼叫作业系统提供的介面来使用硬体，作业系统依赖核心空间来管理和排程这些应用。核心空间由四大部分组成，分别是：行程管理（负责分配Cpu时间）、档案存取（把装置调配成档案系统，并提供一个一致的介面供上层程式呼叫）、安全控制（负责强制规定各个行程的具体的权限和单独的记忆体范围，避免各行程之间发生冲突）和记忆体管理（负责行程执行时对记忆体资源的分配、使用、释放和回收）。核心是一种资料结构，Rootkit技术通过修改这些资料结构来隐藏其它程式的行程、档案、网路通讯和其它相关资讯（比如登录档和可能因修改而产生的系统纪录档等）。例如，通过修改作业系统的EPROCESS连结串列结构可以达到隐藏行程的效果，挂钩服务呼叫表可以隐藏档案和目录，挂钩中断描述符表则可以监听键盘击键等等。Rootkit至今仍然是一个发展中的技术领域。

历史

Rootkit一词最早出现在Unix系统上。系统入侵者为了取得系统管理员级的root权限，或者为了清除被系统记录的入侵痕迹，会重新组译一些软体工具（术语称为kit），例如ps、netstat、w、passwd等等，这些软体即称作Rootkit。其后类似的入侵技术或概念在其他的作业系统上也被发展出来，主要是档案、行程、系统记录的隐藏技术，以及网路封包、键盘输入的拦截窃听技术等，许多木马程式都使用了这些技术，因此木马程式也可视为Rootkit的一种。

2005年的Sony BMG CD防拷丑闻即因Sony被人揭发暗中使用了Rootkit技术来防止盗版，有侵害使用者隐私之嫌，并可能对使用者系统造成威胁，因而引发轩然大波^[1]。Rootkit一词也从此事件开始更广为一般大众所知。

参考资料