惡意軟體作者會使用rootkit來隱藏惡意軟體,讓惡意軟體盡可能長時間存在。 如果不被發現,成功的根套件可能會保留多年。 在此期間,它竊取資訊與資源。
rootkit 的運作方式
Rootkit 攔截並更改標準作業系統程序。 一旦rootkit感染了裝置,你就無法信任該裝置回報的任何資訊。
如果要裝置列出所有正在執行的程式,rootkit 可能會偷偷移除它不想讓你知道的程式。 Rootkit 就是用來隱藏東西的。 他們想隱藏自己和惡意行為在裝置上的行為。
許多現代惡意軟體家族使用rootkit來試圖避免被偵測與移除,包括:
如何防範 rootkit 的侵害
和其他惡意軟體一樣,避免rootkit的最佳方法是一開始就防止它被安裝。
套用作業系統和應用程式的最新更新。
教育員工,讓他們對可疑網站和電子郵件保持警惕。
定期備份重要檔案。 使用3-2-1法則。 備份資料三個,分別在兩種不同儲存類型,並至少備份一個異地備份。
關於更一般的建議,請參見 防止惡意軟體感染。
如果我以為我的裝置上有 rootkit 怎麼辦?
Microsoft 安全軟體包含許多專門用來移除 rootkit 的技術。 如果你覺得自己有 rootkit,可能需要一個額外的工具來幫助你啟動到已知的受信任環境。
Microsoft Defender Offline 可從 Windows 安全性應用程式啟動,並搭載 Microsoft 最新的防惡意軟體更新。 它設計用來用於因可能感染惡意軟體而無法正常運作的裝置。
Windows 10 中的 System Guard 能防止 rootkit 和影響系統完整性的威脅。
如果我無法移除根源套件怎麼辦?
若問題持續,我們強烈建議重新安裝作業系統與安全軟體。 然後從備份還原你的資料。