[技术详解]瑞星“碎甲(Anti-Rootkits)”技术说明

风在笑

一、什么是Rootkits?
Rootkits最早是一组用于UNIX操作系统的工具集，黑客使用它们隐藏入侵活动的痕迹。
目前，在Windows操作系统上也已经出现了大量的Rootkits工具及使用Rootkits技术编写的软件。
这些Rootkits像就像一层铠甲，将自身及指定的文件保护起来，使其它软件无法发现、修改或删除这些文件。
打个比喻，带有Rootkits的流氓软件和病毒就像练就了“金钟罩”、“铁布杉”，不除这种保护伞，各种杀毒软件都无法对其进行彻底清除。
二、Rootkits的类型及常见处理方式
Rootkits主要分为两大类：一种是进程注入式Rootkits，另一种是驱动级Rootkits。
第一种Rootkits技术通常通过释放动态链接库（DLL）文件，并将它们注入到其它软件及系统进程中运行，通过HOOK方式对消息进行拦截，
阻止Windows及应用程序对被保护的文件进行访问。
第二种Rootkits技术较为复杂，其通过在Windows启动时加载Rootkits驱动程序，获取对Windows的控制权。
当程序（Windows及杀毒软件等）通过系统API及NTAPI访问文件系统时进行监视，一但发现程序访问被Rootkits保护的文件时返回一个虚假的结果，
从而达到隐藏或锁定文件的目的。
进程注入式Rootkits较好处理，通过使用杀毒软件的开机扫描（又名Startup Scan、 BootScan）功能都可以轻松清除。
然而，对于第二种通过驱动级的Rootkits，由于其加载的优先级别较高，现阶段还没有一个较好的解决办法。
大多数杀毒软件在处理使用此类Rootkits技术的病毒时均出现漏查漏杀，清除失败的现象。
目前世界上仅有少数几家反病毒厂商，能够处理少量的驱动级Rootkits，而且当一个新的Rootkits病毒出现时，往往需要花费很长时间才能够处理。
三、瑞星“碎甲（Anti-Rootkits）”技术简介
瑞星公司经过对数百个驱动级Rootkits工具、使用该技术的病毒，流氓软件以及Windows驱动加载方式分析，并进行大量试验后，
最终找到了一种高效的通用解决方法，并将其命名为“碎甲（Anti-Rootkits）”技术。
瑞星“碎甲”技术通过对Windows驱动程序加载点进行拦截，当发现Rootkits时自动使其保护功能失效，
就象穿甲弹击碎盔甲一样。目前，此技术可以有效对付600余种Rootkits，并且当有新的Rootkits出现时能够迅速地进行处理。

Rootkits及瑞星“碎甲”技术示意图
瑞星“碎甲（Anti-Rootkits）”技术现已全面应用于瑞星卡卡安全上网助手3.0当中。
用户安装瑞星卡卡3.0后，病毒、流氓软件等身上的铠甲将被击碎，赤裸裸地曝露在杀毒软件面前。
通过使用瑞星卡卡3.0，其他的不具备清除Rootkits能力的杀毒软件，均能够轻松删除带有Rootkits保护的病毒。
RootKits和病毒处理的功能表
     产品名称
功能
瑞星卡卡上网安全助手3.0
杀毒软件
Anti-RootKits
有
无
清除病毒
可清除部分流行病毒及未知病毒
有
清除带有Rootkits的病毒
未安装
无法清除
已安装
可以清除

快乐执著

下了一个，在用。
感觉windows优化大师附带的流氓软件清除大师也不错