怎样挖掘通过Rootkit进行犯罪活动的证据？

　9月26-27日，CCS 2021成都网络安全大会（以下简称“CCS 2021”）在成都市 “中国-欧洲中心”举行，本次大会由四川省互联网信息办公室指导，成都市互联网信息办公室、成都高新区管委会联合主办，该大会是行业知名安全企业共同打造的成都网络安全大会新品牌、新名片，深信服身为国内主要的安全厂商，受邀参与CCS 2021，值得一提的是，深信服蓝军高级威胁攻防研究专家肖秋平和马柔忍还在CCS 2021新型网络违法犯罪打击防范分论坛中，进行了主题为《Rootkit攻防原理与取证技术》的分享，分析了Rootkit的技术原理和取证的方法思路。

　　为隐藏攻击“线索”而生的Rootkit有多强大？

　　什么是Rootkit？在情节跌宕起伏的谍战片里，总有一个角色牵动着大家的心弦，你可以叫他间谍，也可以叫他卧底，他必须很好地伪装自己，避免过早暴露，才能获取重要情报并回传信息。从某种意义上来说，Rootkit就是“间谍”隐藏自己时使用的技术，犹如一件隐身衣，其可以帮助“间谍”持久且无法被察觉地驻留在目标计算机中，对系统进行操纵、并通过隐秘渠道收集数据。

　　深信服蓝军高级威胁攻防研究专家马柔忍

　　马柔忍在《Rootkit攻防原理与取证技术》的分享中提到，Rootkit攻击的技术栈主要分为用户层、内核层等，相对而言，用户层的Rootkit 编写更加简单，受版本的限制会更小，不会因为版本不兼容或者其它错误导致系统崩溃，但它所能达到的效果也更弱，检测起来相对简单，比如通过完整性校验或基于签名的解决方案能有效地检测出文件替换或修改，通过环境变量和配置文件可检测对动态链接库的利用；而内核层的Rootkit处于系统更底层，且拥有更多的技巧来隐藏其攻击痕迹，所以更难以被发现。

　　由于Rootkit是业内公认的最难检测的隐藏手段，因此其经常被攻击者使用在高质量的APT攻击中。APT攻击往往具有较强的持续性，这需要建立在不被发现的基础之上，攻击者可以通过Rootkit在目标网络中潜伏几个月甚至几年之久，长期监控窃取庞大的情报数据。

（编辑：焦作站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!