rootkits病毒的原理介绍以及解决办法

Rootkits病毒主要分为两大类：
第一种是进程注入式Rootkits，另一种是驱动级Rootkits。
第一种Rootkits技术通常通过释放动态链接库（DLL）文件，并将它们注入到可执行文件及系统服务进程中运行，阻止操作系统及应用程序对被感染的文件进行访问。 　
第二种Rootkits技术比较复杂，在系统启动时Rootkits病毒以加载驱动程序的方式，先于杀毒软件被装入系统，得到合法的操作系统控制权。当杀毒软件通过系统API及NTAPI访问文件系统时进行监视，一但发现被Rootkits感染的文件时返回一个虚假的结果，从而阻止操作系统及应用程序对被感染的文件进行访问。
第一种Rootkits病毒较好处理，通过使用杀毒软件可以轻松清除，而且不会造成任何严重的后果。
第二种Rootkits病毒，由于其以驱动程序装入系统被认为是驱动的一部分，现阶段还没有一个较好的解决办法。少数杀毒软件在处理使用此类Rootkits病毒时甚至会出现漏查漏杀的现象，大多数杀毒软件会发现此类病毒，但往往清除失败，某些笔者在实际工作中遇到过几次问题，现加以总结把解决方法与大家分享：
第一个例子出现的现象是操作系统能够正常运行，但杀毒软件无法启动，在没有任何可疑前后台进程的状况下，CPU占用率很高，毫无疑问系统被病毒感染，由于系统本身无法清除病毒，只好把该机器硬盘摘下，挂入另一没有被病毒感染的操作系统以从盘方式进行杀毒，由于病毒盘上所有文件在干净操作系统中只作为普通文件处理，病毒很快就被清除。问题解决。
第二个例子情况更加严重一些，系统在进入桌面后即出现蓝屏，询问操作人员后得知，前一天杀毒软件报告病毒，杀毒重启后系统即出现桌面蓝屏，排除因为硬件及程序问题后，判断是rootkits病毒破坏操作系统中某启动文件引起，挂从盘杀毒后果然发现病毒，但作为操作系统主盘引导，依然出现进入桌面即蓝屏的现象，根据经验，考虑到rootkits病毒可能首先破坏杀毒软件，而且原杀毒软件已经无法启动，于是依旧挂从盘利用其他操作系统强行删除原系统的杀毒软件文件，再重新装入原系统，问题解决，重新装载杀毒软件，查杀后无病毒。
根据上面两个例子，笔者总结出的特点是Rootkits病毒不仅伪装性强，彻底清除困难，而且对操作系统会造成一定程度的破坏。