• 
• 
• 
• 
• 
• 
• 

知識普及 ? 誰動了我的計算機下

誰動了我的計算機下

小金 于2009-12-19 19:17發(fā)表 閱讀次數(shù) 4125次

三. 來自內(nèi)核的欺騙——Rootkit木馬         老宏是一家大公司的資深網(wǎng)管之一，常年負責維護整個公司的網(wǎng)絡運作和安全設置，幾年下來平安無事，可是最近公司網(wǎng)絡頻頻出問題，職員電腦里的資料也遭遇盜竊，公司管理階層很注重這事情，懷疑網(wǎng)絡已經(jīng)被入侵，老宏和其他網(wǎng)管從天亮就開始在機房里忙著檢查系統(tǒng)，由于公司內(nèi)部網(wǎng)絡復雜，十幾臺承擔各種網(wǎng)絡功能的服務器系統(tǒng)也不盡相同，客戶機更是多不勝數(shù)，連續(xù)幾天下來，檢測工作一無進展，負責系統(tǒng)檢測的老宏更是想不通，所有系統(tǒng)看起來都沒有被入侵的痕跡，也查找不到可疑文件和進程，那究竟是什么東西在折騰？無奈之下，公司暫時切斷了內(nèi)部網(wǎng)絡，老宏在一臺被獨立出來的基于Linux系統(tǒng)的網(wǎng)絡服務器旁看著顯示器發(fā)呆。屏幕上進程監(jiān)視程序里都是熟悉的進程，也沒有任何數(shù)據(jù)傳輸，因為連接內(nèi)部的網(wǎng)線已經(jīng)拔掉了，網(wǎng)絡服務也已經(jīng)停止了。老宏點了支煙，望著不遠處的交換機出神，在煙霧繚繞中，他仿佛看到交換機面板上代表這臺網(wǎng)絡服務器的數(shù)據(jù)指示燈在閃爍，公司網(wǎng)絡沒出問題的時候，這里有多么繁忙的數(shù)據(jù)傳輸啊，它代表著公司業(yè)務的……老宏突然嚇得差點把煙甩掉，因為他突然清醒過來了：交換機的數(shù)據(jù)指示燈真的一直在閃爍！他轉(zhuǎn)頭看看顯示器上的流量統(tǒng)計，它們卻一直沒變化！顯示器表達的信息與交換機表達的信息不能同步，老宏只覺得整個機房變得詭異起來……         這樣的事情并不一定會發(fā)生在所有個人計算機用戶的身上，因為它們并非主流的群體，然而一旦不幸發(fā)生，卻會給你帶來遠比以前遭受的一切病毒襲擊更恐懼的感受，你會驚恐的發(fā)現(xiàn)系統(tǒng)有點異常行為、敏感數(shù)據(jù)遭遇盜竊、甚至有明顯的木馬感染的表現(xiàn)，但是殺毒軟件報告你的系統(tǒng)完好，你用流行的進程查看工具也沒有發(fā)現(xiàn)可疑程序，但是你的機器卻一直表現(xiàn)異常…… 正如自然界的規(guī)則一樣，最流行的病毒，對生物的傷害卻是最小的，例如一般的感冒，但是最不流行的病毒，卻是最奪命的。Rootkit木馬就是信息世界里的AIDS，一旦感染，就難以用一般手段消滅了，因為它和自然界里的同類做的事情一樣，破壞了系統(tǒng)自身檢測的完整性——拋開術(shù)語的描述也許難以理解，但是可以配合AIDS的圖片想象一下，由于AIDS破壞了人體免疫系統(tǒng)，導致白細胞對它無能為力，只能眼睜睜看著人體機能被慢慢破壞。計算機系統(tǒng)沒有免疫功能，但是它提供了對自身環(huán)境的相關(guān)檢測功能——枚舉進程、文件列表、級別權(quán)限保護等，大部分殺毒軟件和進程工具都依賴于系統(tǒng)自帶的檢測功能才得以運作，而Rootkit木馬要破壞的，正是這些功能。    轉(zhuǎn)自：奈薇建站網(wǎng)（www.nev.cn）         要了解Rootkit木馬的原理，就必須從系統(tǒng)原理說起，我們知道，操作系統(tǒng)是由內(nèi)核（Kernel）和外殼（Shell）兩部分組成的，內(nèi)核負責一切實際的工作，包括CPU任務調(diào)度、內(nèi)存分配管理、設備管理、文件操作等，外殼是基于內(nèi)核提供的交互功能而存在的界面，它負責指令傳遞和解釋。由于內(nèi)核和外殼負責的任務不同，它們的處理環(huán)境也不同，因此處理器提供了多個不同的處理環(huán)境，把它們稱為運行級別（Ring），Ring讓程序指令能訪問的計算機資源依次逐級遞減，目的在于保護計算機遭受意外損害——內(nèi)核運行于Ring 0級別，擁有最完全最底層的管理功能，而到了外殼部分，它只能擁有Ring 3級別，這個級別能操作的功能極少，幾乎所有指令都需要傳遞給內(nèi)核來決定能否執(zhí)行，一旦發(fā)現(xiàn)有可能對系統(tǒng)造成破壞的指令傳遞（例如超越指定范圍的內(nèi)存讀寫），內(nèi)核便返回一個“非法越權(quán)”標志，發(fā)送這個指令的程序就有可能被終止運行，這就是大部分常見的“非法操作”的由來，這樣做的目的是為了保護計算機免遭破壞，如果外殼和內(nèi)核的運行級別一樣，用戶一個不經(jīng)意的點擊都有可能破壞整個系統(tǒng)。         由于Ring的存在，除了由系統(tǒng)內(nèi)核加載的程序以外，由外殼調(diào)用執(zhí)行的一般程序都只能運行在Ring 3級別，也就是說，它們的操作指令全部依賴于內(nèi)核授權(quán)的功能，一般的進程查看工具和殺毒軟件也不例外，由于這層機制的存在，我們能看到的進程其實是內(nèi)核“看到”并通過相關(guān)接口指令（還記得API嗎？）反饋到應用程序的，這樣就不可避免的存在一條數(shù)據(jù)通道，雖然在一般情況下它是難以被篡改的，但是不能避免意外的發(fā)生，Rootkit正是“制造”這種意外的程序。簡單的說，Rootkit實質(zhì)是一種“越權(quán)執(zhí)行”的應用程序，它設法讓自己達到和內(nèi)核一樣的運行級別，甚至進入內(nèi)核空間，這樣它就擁有了和內(nèi)核一樣的訪問權(quán)限，因而可以對內(nèi)核指令進行修改，最常見的是修改內(nèi)核枚舉進程的API，讓它們返回的數(shù)據(jù)始終“遺漏”Rootkit自身進程的信息，一般的進程工具自然就“看”不到Rootkit了。更高級的Rootkit還篡改更多API，這樣，用戶就看不到進程（進程API被攔截），看不到文件（文件讀寫API被攔截），看不到被打開的端口（網(wǎng)絡組件Sock API被攔截），更攔截不到相關(guān)的網(wǎng)絡數(shù)據(jù)包（網(wǎng)絡組件NDIS API被攔截）了，幸好網(wǎng)絡設備的數(shù)據(jù)指示不受內(nèi)核控制，否則恐怕Rootkit要讓它也不會亮了才好！我們使用的系統(tǒng)是在內(nèi)核功能支持下運作的，如果內(nèi)核變得不可信任了，依賴它運行的程序還能信任嗎？         但即使是Rootkit這一類恐怖的寄生蟲，它們也并非所向無敵的，要知道，既然Rootkit是利用內(nèi)核和Ring 0配合的欺騙，那么我們同樣也能使用可以“越權(quán)”的檢查程序，繞過API提供的數(shù)據(jù)，直接從內(nèi)核領(lǐng)域里讀取進程列表，因為所有進程在這里都不可能把自己隱藏，除非它已經(jīng)不想運行了。也就是說，內(nèi)核始終擁有最真實的進程列表和主宰權(quán)，只要能讀取這個原始的進程列表，再和進程API枚舉的進程列表對比，便能發(fā)現(xiàn)Rootkit進程，由于這類工具也“越權(quán)”了，因而對Rootkit進行查殺也就不再是難事，而Rootkit進程一旦被清除，它隱藏自身的措施也就不復存在，內(nèi)核就能把它“供”出來了，用戶會突然發(fā)現(xiàn)那個一直“找不到”的Rootkit程序文件已經(jīng)老實的呆在文件管理器的視圖里了。這類工具現(xiàn)在已經(jīng)很多，例如IceSword、Patchfinder、gdb等。 四. 誰動了我的計算機    轉(zhuǎn)自：奈薇建站網(wǎng)（www.nev.cn） 在這個不安全的網(wǎng)絡時代，入侵防范變得越來越復雜，然而很多人還依賴著多年前的Process Viewer和傳統(tǒng)防病毒軟件的保護里，因此，在高級木馬到來時，所有的防護措施都成了“馬奇諾防線”；由于一般的“受害思維”影響，人們總是認為任何木馬都是為了害自己的，卻忽略了“傀儡網(wǎng)絡”的存在；而大部分群體，則讓自己計算機裸露于網(wǎng)絡上，使得“45分鐘定律”屢屢成為現(xiàn)實……要知道，在現(xiàn)在的網(wǎng)絡環(huán)境里，差不多每分鐘都會有一次網(wǎng)絡流行漏洞掃描經(jīng)過你的計算機，每天可能就有一次針對性的全面掃描，如果我們自己不做足夠的防范，那么，也許在某天，你只能無助的看著自己的愛機，說一句：“Who moved my computer?”

誰動了我的計算機下相關(guān)標簽：網(wǎng)站申請，企業(yè)做網(wǎng)站，設計網(wǎng)頁，網(wǎng)頁制作

相關(guān)熱點推薦

企業(yè)自主建站應注意的事 《中國移動互聯(lián)網(wǎng)市場趨 網(wǎng)站策劃需要具備的知識 企業(yè)建立網(wǎng)站，對企業(yè)有 網(wǎng)絡營銷，搜索引擎營銷 如何做好網(wǎng)站內(nèi)部url WEB設計師的風格和任 企業(yè)網(wǎng)絡營銷的成功策略 如何挖掘網(wǎng)站長尾關(guān)鍵詞 有感豆瓣的改版 Meta標簽的強大功效 如何提高百度收錄的概率 常見的排版方式與表現(xiàn)類 細談網(wǎng)頁優(yōu)化和網(wǎng)站優(yōu)化 站長總結(jié)站群空間穩(wěn)定性 什么是智能建站 站長必看：建設網(wǎng)站的十 從網(wǎng)頁設計到UI設計— 關(guān)于青島網(wǎng)站建設前需要 網(wǎng)站目錄改版后做網(wǎng)址跳 網(wǎng)站LOGO簡論 細節(jié)決定成敗網(wǎng)站建設的 網(wǎng)站常用字體那些事 如何使網(wǎng)頁的字體和顏色 Seo真的很簡單 用“ 讓網(wǎng)站似個彬彬有禮的紳 扁平化網(wǎng)頁設計的顏色搭 網(wǎng)頁設計的藝術(shù)處理原則 界面設計是應該本地化還 網(wǎng)頁設計制作應注意的問 淺談如何讓你的網(wǎng)站脫穎 如何讓百度收錄更多的網(wǎng) 網(wǎng)站首頁設計有竅門 如何讓搜索引擎收錄更多 如何提高百度的網(wǎng)站內(nèi)容 如何搞定站內(nèi)搜索的產(chǎn)品 網(wǎng)站建設前應該準備什么 如何提升網(wǎng)站在谷歌中排 網(wǎng)頁設計元素的減法式優(yōu) 企業(yè)網(wǎng)站建設的好處

奈薇建站網(wǎng)青島網(wǎng)站建設公司/青島網(wǎng)站制作公司，專業(yè)提供"氣質(zhì)"型網(wǎng)站建設及精美網(wǎng)站制作服務，同時歡迎各地網(wǎng)站建設公司、網(wǎng)站制作公司代理我們的奈薇建站系統(tǒng)共同發(fā)展

熱點地區(qū)：青島網(wǎng)站建設價格 青島即墨網(wǎng)站制作公司 開發(fā)區(qū)信息港 山東在線門戶