xuetr是2008年推出以来的一款广受好评的ARK工具。
那么什么是ARK工具呢?
ARK:Anti Rootkit 反Rootkit(反内核)
用来对抗Rootkit的一种技术
ARK工具就是用来对抗Rootkit的工具
那新问题又来了—什么又是Rootkit?
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。还不太懂?通俗点说这东东就是无间道啊,而且是专业卧底。
Rootkit的三要素就是:隐藏、操纵、收集数据。
“Rootkit”中root术语来自于unix领域。由于unix主机系统管理员账号为root账号,该账号拥有最小的安全限制,完全控制主机并拥有了管理员权限被称为“root”了这台电脑。然而能够“root”一台主机并不意味着能持续地控制它,因为管理员完全可能发现了主机遭受入侵并采取清理措施。因此Rootkit的初始含义就在于“能维持root权限的一套工具”。
简单地说,Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的。
rootkit并不一定是用作获得系统root访问权限的工具。实际上,rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常,攻击者通过远程攻击获得root访问权限,或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。进入系统后,如果他还没有获得root权限,再通过某些安全漏洞获得系统的root权限。接着,攻击者会在侵入的主机中安装rootkit,然后他将经常通过rootkit的后门检查系统是否有其他的用户登录,如果只有自己,攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后,攻击者就会利用这些信息侵入其它的系统。
好了关于Rootkit就说这么多,接下来说会ARK,
主要功能:
1、进程管理
2、线程、句柄管理
3、驱动管理
4、文件管理
5、内核管理 (kernel)
6、网络察看及IE管理
7、注册表管理
8、启动项管理
9、系统服务管理
10、系统杂项 (后缀名关联、映像名劫持、防火墙管理、用户管理等)
11.ssdt shadowssdt inline hook(钩子)检测与恢复