Rootkit

惡意代碼作者會使用 rootkit 來隱藏裝置上的惡意代碼，讓惡意代碼能夠盡可能地保存。 如果未偵測到，成功的 rootkit 可能會保留數年。 在此期間，它會竊取信息和資源。

rootkits 的運作方式

Rootkits 會攔截並變更標準操作系統進程。 Rootkit 感染裝置之後，您就無法信任裝置報告本身的任何資訊。

如果要求裝置列出所有正在執行的程式，rootkit 可能會暗中移除任何不想讓您知道的程式。 Rootkit 全都與隱藏項目有關。 他們想要隱藏自己和其在裝置上的惡意活動。

許多新式惡意代碼系列會使用 rootkit 來嘗試避免偵測和移除，包括：

• Alureon

• Cutwail

• Datrahere (Zacinlo)

• Rustock

• 瓦利文

• Efefef

如何防範 rootkit

如同任何其他類型的惡意代碼，避免rootkit的最佳方式是防止它一開始就安裝。

• 將最新的更新套用至作業系統和應用程式。

• 教育您的員工，讓他們可以小心可疑的網站和電子郵件。

• 定期備份重要檔案。 使用 3-2-1 規則。 在兩種不同的記憶體類型上，以及至少一個異地備份，保留三份數據備份。

如需一般秘訣，請 參閱防止惡意代碼感染。

如果我認為裝置上有 rootkit，該怎麼辦？

Microsoft 安全性軟體包含許多專為移除 rootkit 而設計的技術。 如果您認為您有 rootkit，您可能需要額外的工具，以協助您開機到已知的信任環境。

Microsoft Defender 離線可從 Windows 安全性 應用程式啟動，並具有來自 Microsoft 的最新反惡意代碼更新。 其設計目的是在因可能的惡意代碼感染而無法正常運作的裝置上使用。

Windows 10 中的 系統防護 可防範會影響系統完整性的根目錄和威脅。

如果我無法移除 rootkit，該怎麼辦？

如果問題持續發生，強烈建議您重新安裝操作系統和安全性軟體。 然後從備份還原您的數據。