15. 關於 Rootkit 和 Bootkit 的敘述,下列何項最「不」適切?
(A) Rootkit 是一種惡意軟體,用於隱藏攻擊者對操作系 統的控制權
(B) Rootkit 的偵測防禦容易,因為它易被防毒軟體發現
(C) Bootkit 是一種惡意軟體,與 Rootkit 類似,但是它是 安裝在操作系統的引導(boot)區塊,以實現在操作 系統啟動之前攻擊的目的
(D) 與 Rootkit 一樣 Bootkit 可以隱藏攻擊者的存在和攻 擊行為,例如隱藏進程、檔案、目錄、登錄項目、 網路連接等等,從而繼續控制和攻擊受害者系統

答案:登入後查看
統計: A(47), B(1038), C(129), D(128), E(0) #3246600

詳解 (共 4 筆)

#6256344
Rootkit 非常難以偵測,因為它會深...
(共 138 字,隱藏中)
前往觀看
15
0
#6302673
答案是 (B) Rootkit 的偵測...
(共 200 字,隱藏中)
前往觀看
10
0
#6165817
(C)Rootkit是具有特權權限的惡意軟體,Bootkit是其加強版的病毒,兩者都具高度的隱匿性(不易被察覺)。
4
0
#7379096
正確答案是 **(B)**。
 
 

### 答案解析:


* **(B) 錯誤原因:** Rootkit 的偵測與防禦**非常困難**,而不是容易。
* **深度隱蔽性:** Rootkit 通常會潛入作業系統的核心層(Kernel Mode,如 Ring 0),它會修改系統呼叫(System Calls)或核心 API。當防毒軟體向作業系統詢問「目前有哪些進程或檔案」時,已經被 Rootkit 控制的核心會故意隱瞞惡意軟體的蹤跡,回傳虛假的乾淨結果(這稱為「欺騙 API」)。

* 運作在使用者層(User Mode)的傳統防毒軟體在這種情況下就像被遮住雙眼,極難主動發現它,通常需要透過記憶體鑑識、開機前掃描(Boot-time Scan)或專門的 Rootkit 偵測工具才能把它揪出來。



### 其他選項說明(皆為正確描述):

* **(A) 正確:** Rootkit(字根源自 Unix 的最高權限帳號 **root** + 工具包 **kit**)的核心目的就是為了讓攻擊者在取得系統控制權後,能夠長期、隱蔽地「維持權限」,不讓管理員和資安人員發現。

* **(C) 正確:** Bootkit 是 Rootkit 的升級版。它甚至在作業系統還沒載入前就開始運作。它會去感染硬碟的**主引導記錄(MBR)**、**分區引導記錄(VBR)** 或 **UEFI 韌體**。在 OS 開機的第一時間,Bootkit 就已經把控制權拿走了,這能讓它在更底層、更早的時間點對系統發動攻擊。

* **(D) 正確:** Bootkit 繼承了 Rootkit 的隱蔽特性,兩者都能夠在系統層面上隱藏自己的惡意進程、連線通訊(C2 連線)、註冊表(Registry)或檔案目錄,讓受害系統表面上看起來完全正常,從而達到長期潛伏的目的。




以下用更直白的方式為你拆解這兩者的差別與運作原理:

1. Rootkit(核心層級的隱形斗篷)
「Rootkit」這個字是由 Root(Linux/Unix 系統中的最高權限帳號)和 Kit(工具包)組合而成。

它在做什麼:
當駭客好不容易入侵你的電腦並取得最高權限後,為了防止被你開除或被防毒軟體刪除,他們會安裝 Rootkit。它會直接潛入作業系統的核心層(Kernel Mode,也就是核心 Ring 0)。

它是怎麼隱形的(欺騙 API):
一般的防毒軟體是運作在「使用者層(User Mode)」,必須透過作業系統核心來查詢檔案。
當防毒軟體問作業系統:「請幫我列出目前電腦裡所有的檔案和執行中的程式。」已經被 Rootkit 寄生的核心就會說謊,自動把駭客的惡意檔案和進程「塗改掉」,回傳一份看起來完全乾淨的清單給防毒軟體。

2. Bootkit(開機大師,比作業系統更早起)
「Bootkit」是 Rootkit 的進級魔改版(Boot 意指電腦的開機引導程序)。

它在做什麼:
Rootkit 雖然厲害,但如果電腦重開機,在作業系統核心還沒載入前,它還是有機會被某些底層工具偵測到。於是駭客想出了更絕的方法:比作業系統更早醒來。

它是怎麼運作的:
Bootkit 不感染作業系統的檔案,它直接去感染硬碟的 MBR(主引導記錄)、VBR(分區引導記錄),或是現代電腦的 UEFI/BIOS 韌體。
當你按下電腦電源鍵時:
1 電腦硬體啟動。
2 Bootkit 搶先啟動,接管電腦。
3 Bootkit 在記憶體中動手腳,設好陷阱。
4 Windows 或 Linux 系統開始載入(此時作業系統其實已經在 Bootkit 的掌控之中了)。
因為它在作業系統誕生之前就已經存在於記憶體中了,所以防毒軟體啟動後,根本不可能察覺底層早就被偷樑換柱。
1
0