Rootkit的演化－隐形技术的新威胁

国际领先的信息安全解决方案提供商——卡巴斯基实验室，近日发表新文章《Rootkit的演化》，该文章由公司病毒分析师Alisa Shevchenko撰写。

本文是整个“病毒与反病毒解决方案发展史”系列文章中的第二章。作者将rootkit定义为“使用隐形技术隐藏系统对象，如文件、进程等，来躲避或绕过正常的系统机制的程序。”文章还概述了rootkit从首次出现至发展到现在的演变情况。该文章主要面向那些拥有一些技术知识的读者，他们需要了解关于被当今IT安全领域热议的话题的历史背景。它主要关注Windows rootkits：因为Windows是应用最广泛的操作系统，而病毒编写者最常使用的也是针对该系统的rootkits。

尽管rootkit这个术语最早是用于UNIX操作系统，但当代的Windows rootkits是由首次出现在20世纪90年代的DOS隐形病毒衍生而来的。这些病毒可以将它们自己隐藏起来，不被用户和反病毒程序发现；不久以后，这些技术被Windows rootkits利用来隐藏其它恶意程序。

Windows rootkits的首次出现在发现DOS隐形病毒大约10年之后，它的编写者还提供了一个有关它的起源、首次运行情况及功能的概述。人们一旦弄清楚如何开发rootkits技术，就开始把这些技术运用到大量的恶意程序之中。然而，在最初的阶段，恶意rootkits的数量及其应用的方式相对来说还是小规模的。

直到2005年，rootkits技术开始被广泛应用，媒体的注意力也被吸引过来，并进一步发现这些技术不仅仅只是在恶意程序中用到，而在一些商业产品中也出现了。最典型的例子就是发生在2006年的Sony DRM丑闻事件。

反病毒行业以及独立研究人员迅速对这些rootkit技术的利用做出反应，并研发出一系列的技术、产品以及工具来对抗rootkits。

该文章还强调了rootkits近期的发展趋势，如bootkits（在系统启动时运行的rootkits）；一种叫做Rustock.c的“神秘”rootkit，该rootkit在2006年年末的时候在互联网上引起了广泛的讨论；还有针对非Windows操作系统如OS X（Macintosh）及手机操作系统的rootkits。作者在文章中总结到：“尽管rootkits不再会引发任何棘手的扰乱，但是规避系统的理念仍是有效的，而我们也很有可能看到应用了隐形技术的新威胁的出现。”