【TechTarget中国原创】问:进项风险评估的最佳方式是什么?特别是针对Rootkit?
答:Rootkit是很多想要访问受害者系统的攻击者选择的工具。有了这种恶意软件,攻击者可以在受害者的计算机上安装恶意代码,而用户很难检测到这种方式。
目前,有很多种Rootkit,可以在任何操作系统上使用。研究人员已经发现了一些有商业用途的Rootkit,他们是为用户设计的,为了以极小的代价逃避很多杀毒厂商。
当处理Rootkit和恶意代码的时候,很多安全专家都关注工具和技术。虽然这一点很重要,但是它还没有和开发安全团队的处理Rootkit能力更重要。
当我为了证书和鉴定合格而努力的时候,我希望设置一种情况,在这种情况下我可以在一个系统上安装Rootkit并要求安全团队识别并移除它。我系统查看安全团队处理现场的情况,而不是依赖存储的程序或者定期更新杀毒程序的证明。
至于技术,我喜欢F-Secure Corp。的BackLight工具RootkitRevealer,以及免费的IceSword。在处理Rootkit的时候,存在第二个(或者可能甚至市第三个)选择非常明智,因为rootkit在不断进化,可以绕过Rootkit检测技术。