一、什么是Rootkits?

    Rootkits最早是一组用于UNIX操作系统的工具集，黑客使用它们隐藏入侵活动的痕迹。

    目前，在Windows操作系统上也已经出现了大量的Rootkits工具及使用Rootkits技术编写的软件。这些Rootkits像就像一层铠甲，将自身及指定的文件保护起来，使其它软件无法发现、修改或删除这些文件。

    打个比喻，带有Rootkits的流氓软件和病毒就像练就了“金钟罩”、“铁布衫”，不除这种保护伞，各种杀毒软件都无法对其进行彻底清除。

二、Rootkits的类型及常见处理方式

    Rootkits主要分为两大类：一种是进程注入式Rootkits，另一种是驱动级Rootkits。

    第一种Rootkits技术通常通过释放动态链接库（DLL）文件，并将它们注入到其它软件及系统进程中运行，通过HOOK方式对消息进行拦截，阻止Windows及应用程序对被保护的文件进行访问。

    第二种Rootkits技术较为复杂，其通过在Windows启动时加载Rootkits驱动程序，获取对Windows的控制权。当程序（Windows及杀毒软件等）通过系统API及NTAPI访问文件系统时进行监视，一但发现程序访问被Rootkits保护的文件时返回一个虚假的结果，从而达到隐藏或锁定文件的目的。

    进程注入式Rootkits较好处理，通过使用杀毒软件的开机扫描（又名Startup Scan、 BootScan）功能都可以轻松清除。然而，对于第二种通过驱动级的Rootkits，由于其加载的优先级别较高，现阶段还没有一个较好的解决办法。大多数杀毒软件在处理使用此类Rootkits技术的病毒时均出现漏查漏杀，清除失败的现象。

    目前世界上仅有少数几家反病毒厂商，能够处理少量的驱动级Rootkits，而且当一个新的Rootkits病毒出现时，往往需要花费很长时间才能够处理。

三、瑞星“碎甲（Anti-Rootkits）”技术简介

    瑞星公司经过对数百个驱动级Rootkits工具、使用该技术的病毒，流氓软件以及Windows驱动加载方式分析，并进行大量试验后，最终找到了一种高效的通用解决方法，并将其命名为“碎甲（Anti-Rootkits）”技术。

    瑞星“碎甲”技术通过对Windows驱动程序加载点进行拦截，当发现Rootkits时自动使其保护功能失效，就象穿甲弹击碎盔甲一样。目前，此技术可以有效对付600余种Rootkits，并且当有新的Rootkits出现时能够迅速地进行处理。

Rootkit及瑞星“碎甲”技术示意图

    瑞星“碎甲（Anti-Rootkits）”技术现已全面应用于瑞星卡卡安全上网助手3.0当中。用户安装瑞星卡卡3.0后，病毒、流氓软件等身上的铠甲将被击碎，赤裸裸地曝露在杀毒软件面前。通过使用瑞星卡卡3.0，其他的不具备清除Rootkits能力的杀毒软件，均能够轻松删除带有Rootkits保护的病毒。

RootKit和病毒处理的功能表