3Rootkits的危害性Rootkits由于运用了大量先进的Windows内核技术,所以很难被检测清除掉。于是攻击者就可以堂而皇之的做一些破坏行为。比如破坏重要的磁盘数据,盗窃用户的网络银行密码、游戏账号,进行网络欺骗攻击。2005年,流氓软件大行其道,为了防止被杀毒软件或流氓软件卸载工具发现,采用了病毒常用的Rootkits技术进行自我保护,强行霸占用户电脑。比如臭名昭著的“中文上网”。由于“中文上网”取得了巨大的经济收益,促使一些其它的厂商也推出了具有同质化功能的插件程序。为了争夺市场,提供“中文上网”业务的公司之间开始“互杀”,软件安装后会试图删除竞争对手的插件,将用户的计算机变成战场,甚至一些厂商为此对簿公堂。由于插件间的恶性竞争,在此过程中往往造成用户计算机频繁死机、蓝屏。这样的事情遭殃的不仅仅是普通的电脑用户,还破坏了干净的网络坏境,造成了极其恶劣的影响。2.4RootKit应用利用RootKit技术可以做到在WindowsNT操作系统下隐藏对象、文件、服务、进程等。下面对一些重要的技术进行简单说明。1.隐藏文件在WINNT里在某些目录中寻找某个文件的方法是枚举它里面所有的文件和它的子目录下的所有文件。文件的枚举是使用NtQueryDirectoryFile函数。NTSTATUSNtQueryDireetoryFile(INHANDLEFileHandle,INHANDLEEventOPTIONAL,INPIO_APC_ROUTINEApcRoutineOPTIONAL,ontextOPTIONAL,OUTPIO—STATUS—BLOCKIoStatusBlock,OUTPVOIDFilelnformation,INULONGFileInformationLength,INFILE..INFORMATIONCLASSFileInformationClass,7