在Windows企业中反对rootkits的战争

　　Rootkit究竟是什么?据Mark Russinovich介绍，简单的来讲rootkit是一个掩蔽的设计。Russinovich是一位Windows操作系统专家，微软公司MVP，同时还是位于德州奥斯丁Winternals软件公司的创始人。她在他的免费软件站点Sysinternals.com上是这样概括rootkits的。站点中介绍的关于rootkit描述为在一个系统中故意隐藏自身存在的恶意软件。固定的rootkits在系统的每一次系统重启时都能被激活。基于内存的rootkits没有固定的编码并且在重启时不能幸免。

　　Russinovich指出:“这是生存在内核中非常坚挺的一类，他们可以隐藏他们想要隐藏的所有东西。”

　　越来越多的关于这些系统监控的程序令人担忧，因为他们经常不能发现许多的监测工具，包括反病毒和反间谍软件。

　　Russinovich说:“他们抬高了安全威胁的门槛，你不能执行那些你不能看见的安全监控。”

　　这是一个竞技场，反病毒和反间谍软件供应商需要去抓住机会。“反病毒和反间谍软件市场是很有影响的。我们知道得越多，我们就能让更多的用户认清这个问题。”

是好东西，还是坏东西或者两者兼有?

　　究竟软件提供商要去努力做什么?是所有的rootkit都有问题么?问题在今天早些被提到了一个很重要的位置自从SONY BMG在他们的一些产品中安装了rootkit-style复制保护软件。这个举措遭到了争议，SONY公司不得不召回了数百万的CD。德克萨斯州规定要求公司结束使用这个软件。

　　安全提供商赛门铁克公司最近也因为在他的一款产品中包含了类似rootkit软件而遭到了批评质疑。这个rootkit不像Sony公司推出的那个，它能够被关闭或者打开，并且它可以方便地被用户卸载。

　　事实上，出自于这些知名公司的rootkit增加了对一些rootkit是否是无害的这类的问题的讨论。决不是这样的。Dan Kaminsky这么说道，他是一名安全性分析员，目前供职于一家独立的研究公司，DoxPara Research。

　　Sony的问题令到Kaminsky'激动万分。他说他认为音乐巨人的rootkit不会引发问题这种观点是非常可笑的。

　　他指出:“这个软件并不只是就放在那里那么简单，它会主动地‘制造’出一些关于什么事你能在计算机上做的，什么是你不能做的决定。”

　　Russinovich同意Kaminsky的观点。他说:“任何类型的rootkit都会招致对安全性和可靠性的冒险。”|

应对威胁的产品

　　Kaminsky声称他相信对于计算机本身而言，很长一段时间来rootkits所带来的损坏已经超过了间谍软件。根据他的观点，第一个间谍软件代码是在2000年公开的，但是他花费了主要的安全产品提供商三年的时间来提供出一套反间谍软件。

　　Kaminsky说:“反病毒软件几乎对间谍软件没有什么作用。对于Rootkit的处理正好是它们缓慢做出相应的另外一件事情。”

　　有一些产品是针对解决发现rootkit的，但是还不是很多。举例来说，芬兰的安全产品提供商F-Secure公司发布了一款名为BlackLight的rootkit消除技术的产品。Sysinternals发布了一款名为Rootkit启示录。

　　Ted McCarthy是一位为政府代理的订约系统工程师和微软认证系统工程师，他使用过Rootkit启示录这个软件。McCarthy想要自行设计出一个软件，因为他所关心的已经超越了rootkit程序所引起的威胁。

　　“我认为使用rootkit还并没有真正的引发什么大的问题，但是Sony的问题是一个对世人敲响的警钟——让人们认识到他们应该去检查解决这些事情” McCarthy在一封电子邮件中如是说。

　　下周，第二份报告将会关注微软将要致力于研究rootkit的威胁和调查反rootkit技术，这是为Vista操作系统做的一项计划。