Rootkit

恶意软件作者使用 rootkit 隐藏设备上的恶意软件，使恶意软件能够尽可能长时间地保留。 如果未检测到成功的 rootkit，可能会保留多年。 在此期间，它会窃取信息和资源。

rootkit 的工作原理

Rootkit 截获并更改标准操作系统进程。 rootkit 感染设备后，你无法信任设备报告的任何信息。

如果要求设备列出正在运行的所有程序，rootkit 可能会偷偷删除它不希望你了解的任何程序。 Rootkit 都是关于隐藏东西的。 他们希望在设备上隐藏自己及其恶意活动。

许多现代恶意软件系列使用 rootkit 来试图避免检测和删除，包括：

• Alureon

• Cutwail

• 达特拉赫 ( 扎辛洛)

• 鲁斯托克

• Sinowal

• Sirefef

如何防范 rootkit

与任何其他类型的恶意软件一样，避免 rootkit 的最佳方法是一开始阻止安装它。

• 将最新的更新应用于操作系统和应用。

• 培训员工，让他们警惕可疑的网站和电子邮件。

• 定期备份重要文件。 使用 3-2-1 规则。 在两种不同存储类型上保留三个数据备份，在异地保留至少一个备份。

有关更多常规提示，请参阅 防止恶意软件感染。

如果我认为我的设备上有 rootkit，该怎么办？

Microsoft 安全软件包括许多专门用于删除 rootkit 的技术。 如果你认为自己有一个 rootkit，则可能需要一个额外的工具来帮助启动到已知的受信任环境。

Microsoft Defender脱机可以从 Windows 安全中心 应用启动，并具有 Microsoft 的最新反恶意软件更新。 它设计用于由于可能感染恶意软件而无法正常工作的设备。

Windows 10 中的System Guard可防止影响系统完整性的 rootkit 和威胁。

如果我无法删除 rootkit，该怎么办？

如果问题仍然存在，我们强烈建议重新安装操作系统和安全软件。 然后从备份还原数据。