关于rootkit我们谈得已经够多了，但如今，随着虚拟机的普及，它已经悄然进入了虚拟化的世界。比方说，安全研究人员可以用英特尔处理器中的虚拟机指令将rootkit隐藏于虚拟化层中。当然，目前可能还没发现黑客们开发这种更加恶毒的软件。因为即使不依靠虚拟化，目前的rootkit足以让一般的检测技术兴叹了。

　　这里的意思并不是说黑客们在吃老本。用户和内核级的rootkit仍在甚嚣尘上，更加深入地进入企业网络，将其自己隐藏于处理器中，并且利用多核处理器的漏洞为非作歹。

　　Rootkit：万恶之恶

　　虽然我们很难说rootkit是如何猖狂，因为这种东西极难发现。但却不能忽视这样一个事实，即受到巨大经济利益的驱使，rootkit越来越频繁地被用于隐藏远程控制程序、键盘记录程序、垃圾邮件僵尸等恶意程序。

　　举例来说，如2008年最臭名昭著的Rustock.c可以如同病毒一样传播，感染内核驱动程序，并且象孙悟空一样采取多种形态来避免特征检测，可以在80号端号上打开但隐藏一个双向的通信通道。

　　未来的rootkit的发展趋势是与恶意软件越多地结合，或者说将自己隐藏于恶意软件之中。

　　这种隐藏技术的最严重后果便是rootkit不但能够轻易的将僵尸隐藏于系统的“视线”之外，还可以避开检测rootkit的最后一道防线-网络检测。

　　而多数公司需要开放着80号端口，因为其雇员需要使用互联网。一些恶意用户使用这个通道传输数据。作为网管员应当知道，这个端口主要用作进入的而不是发出的通信，因为网管员应当依靠网关设备上的过滤器来扫描发出的HTTP数据通信。当然，这需要好好调教你的过滤器。

　　恶意的通信还可以借助可接受的发出数据通信来传输。例如，它可依附于发出的DNS数据包上。因此，建议管理员密切监视三种通信，一是突发的通信，二是大文件通信，三是其它的异常通信。这三者可能表明有人正在远程执行控制命令。

　　从传统上讲，检测系统上的rootkit要比检测隐藏于网络通信中的rootkit困难得多，因为多数rootkit要比反病毒软件有更高的特权。

　　不过，我们应当注意这样一个有趣的事实：近来，Vmware公司用其新的VMsafe安全扩展增加了对反病毒的支持，这样就可以在虚拟机监视程序的保护下运行反病毒产品，其特权更高。

　　可能很多人看过动画片《猫和老鼠》，其中的老鼠经常将猫玩得不亦乐乎。在安全领域中，反恶意代码和rootkit之间的控制和反控制斗争也与此类似。Rootkit可以控制安全软件，并可以控制受感染的计算机。

　　rootkit检测工具可以吗?

　　特定rootkit的检测工具，如RootkitRevealer可以找到内核系统调用和直接磁盘检查的差异，并可以据此检测隐藏的文件、注册表键值及其它属性。例如，在Windows计算机上，可以查找任务管理器的进程列表与内部系统任务列表的差异。

　　不过，要注意，这些工具的运行级别仍低于rootkit。运行于用户系统上的检测程序需要动态分析计算机，看看计算机是否撒谎。但最佳的方法是从一个完全干净的系统检测当前系统。或者用另外一个原来完全相同的系统对当前系统进行对比，找出其差异。

　　Rootkit要求深度防御

　　最新的内核级rootkit,将多种类型的恶意代码包装在内,它可以跳转到处理器,在BIOS检测时,再跳转到系统内核,在计算机被清除和恢复后也难于彻底根除。这种永久性rootkit已经成为最危险的rootkit，在两星期以前的黑帽大会上有研究人员已经清楚地演示了这一点。。

　　还有一种所谓的游戏僵尸，这种程序尤其喜欢多处理器，它可以运行多个线程，又能平衡负载。其中有些僵尸可通过自动的僵尸程序窃取虚拟币或虚拟货物，然后换卖真实的金钱。Rootkit可以从多个方面来利用固件的漏洞，如可借助于启动加载程序、设备驱动程序、闪速固件更新等。

　　当今的安全技术并没有很好地理解硬件的安全问题，这是一个极危险的现象。无论从硬件上讲还是从软件上看，认为安全公司能够使系统完全避免攻击是是愚蠢的。我们要做的就是要让系统尽量安全。