這本書是瞭解 Rootkits 必讀的聖經：

Rootkits: Subverting the Windows Kernel

Rootkit 的定義：

A rootkit is a tool that is designed to hide itself and other processes、 data and/or activity on a system。

引用於此： The definition of a rootkit

維基百科上的解釋：

A rootkit is a set of software tools intended to conceal running processes， files or system data from the operating system。Rootkits have their origin in benign applications， but in recent years have been used increasingly by malware to help intruders maintain access to systems while avoiding detection。

引用於此：Rootkit

什麼是 Rootkit：

Rootkit 由來已久，它源自於UNIX電腦系統，原本是一組指令，是一種可以獲得電腦系統root存取權限的軟體工具組（kit），因此稱為rootkit（也可以 稱為root kit）；root是UNIX系統權限最高的帳號，也就是系統管理者帳號的名稱（因此為了安全起見，管理者應該要會關閉root帳號，另外建立權限相當的 帳號）。

通常只有攻擊者者才會想要獲得電腦系統的root存取權限，因此rootkit還有另一個重要的特性，就是必須想盡一切辦法隱 匿攻擊者的所有行為，不能被發現已經被植入或正在執行rootkit；因為只要被發現，管理者當然就會想盡辦法要移除rootkit，攻擊者就無法遂行目 的。

rootkit沒有病毒或蠕蟲的傳染（也就是自我複製並傳播）特性，而是攻擊者伺機將rootkit程式偷偷的裝進目標系統並暗中 啟動rootkit程式，因此攻擊者會採用任何可以達成這種攻擊目的的手法，例如利用開啟的通訊埠等系統弱點，或者暴力破解密碼、甚至利用木馬程式將 rootkit程式挾帶進入系統。

rootkit都被歸類在惡意軟體（malicious software，malware）的範疇，原因之一，是攻擊者會合併使用rootkit和其他惡意軟體，例如結合後門程式，就可以在目標系統留下後門，以便後續還能控制目標系統，或者竊取目標系統裡的資料。

rootkit 程式會用盡所有的技術或技巧來隱藏自己和所挾帶的惡意軟體，讓使用者不知道也找不到電腦裡的rootkit程式，而這往往也使得rootkit很難被移 除，因此如果電腦被植入rootkit，大多建議清除並重新安裝系統，因為敵暗我明，很難確定是不是已經將所有的rootkit程式檔案都清除乾淨，而且 系統檔案也可能已經遭到rootkit修改。

雖然源自於UNIX系統，但是包括Windows在內的電腦系統也已漸漸出現數種 rootkit，因此現在的rootkit也不必然得是指令，只要能獲得、執行系統高權限使用者帳號，而且不被發現的軟體工具組，或沿用相同概念而撰寫的 程式，都稱為rootkit。尤其近期的rootkit，都特別著重在隱身的技巧，而已經有越來越多的間諜軟體、病毒、蠕蟲、後門等惡意軟體，也開始加入 rootkit的隱身功能。

Rootkit 最有名的案例：

Sony DRM Rootkit 的威脅與發現

唱 片業者Sony BMG的音樂光碟防拷功能竟然採用了rootkit技術；Windows系統專家Mark Russinovich在無意中發現自己購買的Sony BMG音樂光碟卻隱藏著rootkit，同時也發現Sony BMG所使用的這項技術也可能遭到其他惡意軟體利用。Sony BMG的作法在美國引發了相當的爭議，也因此讓更多人知道或注意到rootkit所可能帶來的資安威脅。

Sony又被抓到在產品中使用Rootkit程式

資安業者F-Secure在近日提出警告，指出Sony採用類似rootkit技術，其MicroVault USB隨身碟驅動程式會在Windows內建立隱藏檔案，可能被駭客用來藏匿惡意程式。F-Secure安全研究人員Mika Tolvanen在部落格中 指出，當使用者買了Sony的MicroVault USB隨身碟後，該隨身碟提供指紋辨識功能，並含在驅動程式中，一旦使用者安裝了該驅動程式，就會在視窗中建立一個隱藏目錄及檔案，假設駭客知道該檔名， 就能透過Command Prompt進入該目錄，並建立一個新的隱藏檔，而且可以執行其中的檔案。

Rootkits 列表：

Stealth Malware List

--------------------------------------------------------------------

Anti-Rootkits 工具整裡包：

針對 Linux 環境：

Rootkit Hunter

chkrootkit

針對 Windows 環境：

偵測用免費工具：

Windows Sysinternals RootkitRevealer

System Virginity Verifier (SVV)

Rootkit Unhooker

ThreatFire

GMER

防毒軟體廠商的免費工具：

TrendMicro Rootkit Buster

McAfee Rootkit Detective

Sophos Anti-Rootkit

Panda Anti-Rootkit

F-Secure BlackLight

中國大陸的免費工具：

冰刃 IceSword

DarkSpy Anti-Rootkit

其他族繁不及備載的工具：

Rootkit Detection & Removal Software

--------------------------------------------------------------------

相關網站：

Rootkit .com

Sony DRM Rootkit的威脅與發現

Windows rootkits of 2005, part one

Windows rootkits of 2005, part two

Windows rootkits of 2005, part three

The Benchmark of Anti-rootkit Software?

Re：The Benchmark of Anti-rootkit Software?

Sony 又有Rootkit問題？

Sony隨身碟軟體存在漏洞,讓電腦易遭駭客攻擊

Sony又被抓到在產品中使用Rootkit程式

[線上掃毒]是作為與原有裝置在單機上的防毒軟體交叉比對之用，但並不是拿來取代單機上的防毒軟體。

線上掃毒的優點：

• 拿來與原有的防毒軟體做是否中毒的交叉比對。
• 評估該防毒軟體掃毒的偵測率。

線上掃毒的缺點：

• 名為[ 線上 ]所以絕大多數必須要在網路有通的情況下才能使用。
• 線上掃毒掃瞄時的效能相較於該軟體的單機版較差。
• 所需要耗費的掃瞄時間相較於該軟體的單機版較久。
• 線上掃毒必須依賴瀏覽器，如果該瀏覽器掛了，則掃毒的process也會隨著停止。

註1：使用線上掃毒時，如果原本的防毒軟體出現異常警告，應屬正常現象。如不放心那再換其它家線上掃毒使用。

註2：絕大多數線上掃毒會要求你安裝[ ActiveX 控制項 ]元件，安裝太多可能會造成[ IE 瀏覽器當機 ]，所以請斟酌使用。

--------------------------------------------------------------------

可疑檔案上傳分析：

利用各家防毒軟毒軟體的掃瞄引擎，同時對單一一個檔案，作是否為病毒、木馬檔案的分析可協助檢測確認檔案本身是否異常。

VirusTotal 免費線上病毒和惡意軟體掃瞄

http://www.virustotal.com/zh-tw/

VirSCAN.org-線上防毒引擎掃瞄網站 v1.00 目前支援 36 款防毒引擎

http://www.virscan.org/

Online malware scan

http://virusscan.jotti.org/

--------------------------------------------------------------------

趨勢科技 HouseCall™ 線上掃毒

http://www.trendmicro.com/hc_intro/default.asp

http://www.trendsecure.com/portal/zh-TW/tools/security_tools/housecall

http://housecall.trendmicro.com/us/index.html

賽門鐵克 諾頓

http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=ch&venid=sym

McAfee 邁克菲

http://tw.mcafee.com/root/mfs/default.asp?cid=16943

http://us.mcafee.com/root/catalog.asp?catid=free

卡巴斯基

http://kaspersky.kl.edu.tw/webscan/index.html

http://www.kaspersky.com/virusscanner

CA eTrust PestScan

http://www3.ca.com/securityadvisor/virusinfo/scan.aspx

CA eTrust Scan

http://www3.ca.com/securityadvisor/pestscan/

F-Secure

http://support.f-secure.com/enu/home/ols.shtml

Panda 熊貓

http://www.pandasoftware.com.tw/html/activescan.htm

TrojanScan

http://www.windowsecurity.com/trojanscan/

EarthLink Spyware Scan

http://www.earthlink.net/software/nmfree/spyscan/

金山毒霸

http://shadu.kingsoft.com/index1.htm?sid=0&uid=2801&adid=410

江民在線

http://online.jiangmin.com/index.asp

瑞星 免費查毒

http://online.rising.com.cn/free/index.htm

微軟 Windows Live OneCare 安全掃瞄

http://onecare.live.com/site/zh-tw/default.htm

Free online Trojan Scanner

http://www.windowsecurity.com/trojanscan/

BitDefender

http://www.bitdefender.com/scan8/ie.html

http://www.bitdefender.com/scan-online/index.html

a-squared Web Malware Scanner

http://www.emsisoft.com/en/software/ax/?scan=1

Webroot Software Spy Sweeper Free Scan

http://www.webroot.com/En_US/land-spysweeper-freescan.html

SpywareInfo Online Spyware Detection

轉自網路攻防戰

1. PMI Project Management Professional (PMP)

With an average annual salary of $101,695, the PMP certification from the Project Management Institute (PMI) organization tops the list of highest paying certifications for the current year.

11. MCITP - Microsoft Certified IT Professional (Enterpeise)

The MCIPT certification (Enterprise), or Microsoft Certified IT Professional - Enterprise Support comes in at number 11 on the list of highest paying technical certifications. (The MCITP Database is number 14, see below). The average MCITP Enterprise salary reported was $82,941.

15. MCDBA - Microsoft Certified Database Administrator

The Microsoft Certified Database Administrator, or MCDBA, comes in at number 15 on the list of highest paying technical certifications. The average annual salary reported by MCDBA respondents is $76,960.

概述

最近這幾年，已經很少看見大規模的惡意程式感染或傳播，取而代之的是目標式攻擊(Target Attack)的惡意程式，而且大部分是以賺取金錢為目的。那惡意程式的數量減少了嗎？其實並沒有，反而增加了非常多，多到令防毒軟體公司疲於更新惡意程 式特徵碼，但也無法有效地或即時地保護他們的客戶免於中毒。

各位會發現今年新版本的防毒軟體多了一個主要的功能 — 行為偵測防護。大約四、五年前，就有人提出這個構想，但防毒軟體公司認為這個技術太容易造成誤判和干擾使用者行為，但為什麼四、五年後，防毒軟體公司會將此技術加入防毒軟體中呢？因為傳統偵測方式已經無法有效處理大量的惡意程式樣本和未知惡意程式樣本。

現今防毒軟體有下面幾個主要的難題，使得防毒軟體都無法有效地偵測到這些惡意程式：

• 惡意檔案被一種或多種加殼程式(Packer Program)壓縮過
• 惡意程式產生器所生成的檔案
• 惡意程式使用隱匿技術 (Rootkit Technique)
• 惡意程式使用DLL injection的技術
• 目標式攻擊的惡意程式樣本收集不易
• 無法有效清除已感染惡意程式的系統 (大部分的防毒軟體都無法有效清除惡意程式)
• 編過碼的惡意Script (如JavaScript, VBScript等)
• 傳統的偵測方式(特徵碼)已無法有效處理每日收集到的惡意程式樣本數量(亦即很多樣本都沒有時間建立特徵碼)

防毒軟體偵測率的迷思

大部分的人應該都認為防毒軟體的偵測率越高越好，所以，當選擇防毒軟體時，只看此項目，而忽視了其他項目(或其背後所隱藏的含意)，其實，這是種迷思：

• 所有防毒軟體測試機構所使用的測試樣本都是已知的惡意程式(除非有一種比較好的方法)，其中包含許多N年前的老舊樣本或Zoo病毒。我們無法估計 到底有多少未知的惡意程式存在網際網路上，所以，這裡所說的偵測率只能當成一種參考(或是說防毒軟體公司提供惡意程式特徵碼的速度，也許有人會反對此說 法)。

• 到底是被特徵碼偵測到的，還是被啟發式掃瞄的特徵碼偵測到的呢？這很重要，因為它所隱含的意義是高或低誤判率。如果是被啟發式掃瞄偵測到的，根據其設定值，會出現不同的誤判率(誤判率不可能為零)。
• 防毒軟體測試機構技術能力不足，所以，只能提供此測試報告。只要能收集到大量的惡意程式樣本，任何人便可以進行此項測試。

惡意程式感染生命週期

傳統惡意程式偵測方式，往往必須收集到樣本，才能建立特徵碼，然後，經由病毒碼更新後，才能保護客戶系統或網路之安全，但從收集樣本至病毒碼更新期間是一段空窗期，亦即，你的系統或網路無法有效防禦此惡意程式的攻擊，所以，如何縮短此空窗期，也是一個很重要的課題。

什麼是行為偵測技術

簡單地說，就是監控系統任何活動，包含檔案/註冊碼/系統服務之新增/刪除/修改、執行程序之新增/終止等等。當惡意程式/正常應用程式執行時，使得系統產生變化，防毒軟體行為偵測防護就會根據其預設規則做相對應之處理動作(下圖是一個例子)。

行為偵測技術可以實作在系統使用者模式或核心模式，其中以系統核心模式的防護功效較佳，相對地，如果所撰寫的程式碼品質不佳，很容易造成系統死當或出現死亡的藍色畫面(BSOD)，通常必須經過一段很長時間的測試驗證，才能穩定其程式碼品質。

大部分的防毒軟體行為偵測技術皆實作在系統核心模式(這也就是為什麼防毒軟體公司不敢隨便提供此技術給他們客戶的原因，因為必須確保其品質)，但大部分的反間諜軟體皆實作在系統使用者模式(已經有些反間諜軟體變更至系統核心模式)，這也就是為什麼防毒軟體的防護能力比反間諜軟體較佳的原因之一。

惡意程式攔截點及服務產業分佈情形

根據趨勢科技的統計(期間：7/31/2006~6/30/2007，地區：台灣，電腦數目：35萬台，病毒記錄：123,050,171 筆)，大部分惡意程式攔截點發生在用戶端及伺服器端，佔了96%，此數字讓人覺得驚訝，難道，他們都沒有安裝閘道端的防毒軟體嗎？

行為偵測技術適合哪類的防毒軟體

基本上，行為偵測技術較適合加入用戶端的防毒軟體，因為行為偵測技術是根據惡意程式/正常應用程式執行時，對系統產生的變化做相對應之處理動

轉自大砲開講

ESET最近發佈一個免費系統檢測工具「SysInspector」， 此工具很像HijackThis、SIC、SREng等工具，收集系統資訊，然後，以顏色區分風險等級，讓使用者一眼就可以看出哪些地方有問題，經過小小 的測試，感想是誤判率很高，改善空間很大，不過，此工具應該是將收集的資訊提供給他們的工程師做辨識，而不是給一般使用者使用的工具。

此工具會檢視系統的執行程序、網路連線、重要註冊機碼、服務、驅動程式、重要檔案、系統資訊等地方。此工具執行後的畫面，如下所示：

如果各位想試用此工具，請在這裡(32位元)或這裡(64位元)下載。

轉自大砲開講

首先先下載FinalData V2.0中文企業版

安裝好，並執行中文化，啟動之後就如上圖。

若你的記憶卡因為糊塗的FORMAT或因相機、讀卡機問題而造成檔案損毀或者無法讀取，這時候就趕緊插上你的記憶卡讀卡機，執行FinalData 。

記得，若發生上述狀況，記憶卡請勿繼續使用拍攝，原有磁區一旦被新檔案覆蓋，那就『神仙難度無命客』。

使用很簡單，插好記憶卡，點選『開啟』。

選擇你記憶卡的位置，例如我的記憶卡是在『 i 』

這兒選項無須修改，直接用原始設定值即可。

若檔案很多，按滑鼠左鍵框選起來。然後按左上那個『磁碟』的按鍵。

看你要存在那個磁碟以及哪一個檔案夾。

軟體操作超簡單，稍微有概念的，大概30秒就能入手。

因為全中文操作，我就大概講一下你就會用，我也不囉唆。

請記得，這軟體先D下來存起來就對了，哪天真的要用你就有。

轉自486的窩

Sysinternals Suite

Download Sysinternals Suite
(8 MB)