第二种Rootkits技术

较为复杂，其通过在Windows启动时加载Rootkits驱动程序，获取对Windows的控制权。当程序（Windows及杀毒软件等）通过系统API及NTAPI访问文件系统时进行监视，一但发现程序访问被Rootkits保护的文件时返回一个虚假的结果，从而达到隐藏或锁定文件的目的。

进程注入式Rootkits较好处理，通过使用杀毒软件的开机扫描（又名Startup Scan、 BootScan）功能都可以轻松清除。

驱动级的Rootkits，由于其加载的优先级别较高，现阶段还没有一个较好的解决办法。大多数杀毒软件在处理使用此类Rootkits技术的病毒时均出现漏查漏杀，清除失败的现象。

一种新的特洛伊木马病毒的隐蔽技术是如此的高明，以至于一些安全研究人员称，他们与恶意代码作者的新一轮大战即将开始。

据赛门铁克和F-Secure公司在最近的分析中表示，分别被它们称之为“Rustock”和“mailbot”的这种新的恶意代码采用了rootkit技术躲避来自安全软件的检测。据赛门铁克公司的安全响应工程师伊利亚于上月末在其博客中写道：它可能会被认为是新一代rootkits技术的诞生。Rustock.A将老技术和新创意集一体，其隐藏技术足以能够躲过许多常用的检测技术。

Rootkits技术被认为是一种新的威胁

Rootkits技术被认为是一种新的威胁，它们常常使系统改变隐藏软件，可能是恶意软件。据赛门铁克公司表示，在Rustock(mailbot)中，Rootkit技术常被用于隐藏一种在被感染的系统上开一个后门的特洛伊木马病毒。据McAfee公司的病毒研究经理克莱格表示，在与安全软件厂商的周旋中，这种最新的Rootkit技术的作者在编写代码前似乎对检测工具的内部工作原理有更深的研究。据他表示，安全厂商们正在努力将电脑黑客挡在自己的后面，然而，这些电脑黑客们也掌握了安全公司的技术。许多技术被综合用来强化这一恶意代码，而黑客在隐蔽自己方面做得相当好。伊利亚也写道：多种隐蔽技术的综合运用能够使Rustock在“被感染的计算机上几乎不留下任何蛛丝马迹”。

为了躲避检测，Rustock的运行没有使用系统进程，而是在驱动程序和内核线程中运行自己的代码。它使用的是交替的数据流而非隐藏的文件，而且也没有使用API。据伊利亚表示，检测工具会查找系统进程、隐藏的文件以及对API的调用。伊利亚还在其博客中写道：Rustock还躲过了rootkit检测工具对一些内核结构和隐藏的驱动程序。这个rootkit使用的SYS驱动程序具有多态形，代码也会经常变化。

然而，据一些专家表示，人们受到这一rootkit及其特洛伊木马病毒攻击的机率还是非常低的。据克莱格表示，人们在博客中讨论它的原因并非是它已经相当普及了，而是因为它给现有rootkit检测工具带来了一定的挑战。F-Secure公司已经对其能够检测到当前恶意版本的BlackLight rootkit检测工具进行了更新。赛门铁克和McAfee公司仍然在开发检测并从计算机上删除这种最新rootkit的工具

最为简单实用的应用级别Rootkit是通过将添加过提权代码的命令替换系统中原始的命令来实现功能的，并且一般提供清理工具删除wtmp、utmp、lastlog等日志文件中自己的行踪，并且复杂点的rootkit还可以向攻击者提供telnel、shell和finger等服务