Rootkit

恶意软件作者使用 rootkit 隐藏设备上的恶意软件,使恶意软件能够尽可能长时间地保留。 如果未检测到成功的 rootkit,可能会保留多年。 在此期间,它会窃取信息和资源。

rootkit 的工作原理

Rootkit 截获并更改标准操作系统进程。 rootkit 感染设备后,你无法信任设备报告的任何信息。

如果要求设备列出正在运行的所有程序,rootkit 可能会偷偷删除它不希望你了解的任何程序。 Rootkit 都是关于隐藏东西的。 他们希望在设备上隐藏自己及其恶意活动。

许多现代恶意软件系列使用 rootkit 来试图避免检测和删除,包括:

如何防范 rootkit

与任何其他类型的恶意软件一样,避免 rootkit 的最佳方法是一开始阻止安装它。

  • 将最新的更新应用于操作系统和应用。

  • 培训员工,让他们警惕可疑的网站和电子邮件。

  • 定期备份重要文件。 使用 3-2-1 规则。 在两种不同存储类型上保留三个数据备份,在异地保留至少一个备份。

有关更多常规提示,请参阅 防止恶意软件感染

如果我认为我的设备上有 rootkit,该怎么办?

Microsoft 安全软件包括许多专门用于删除 rootkit 的技术。 如果你认为自己有一个 rootkit,则可能需要一个额外的工具来帮助启动到已知的受信任环境。

Microsoft Defender脱机可以从 Windows 安全中心 应用启动,并具有 Microsoft 的最新反恶意软件更新。 它设计用于由于可能感染恶意软件而无法正常工作的设备。

Windows 10 中的System Guard可防止影响系统完整性的 rootkit 和威胁。

如果我无法删除 rootkit,该怎么办?

如果问题仍然存在,我们强烈建议重新安装操作系统和安全软件。 然后从备份还原数据。