瑞星“碎甲(Anti-Rootkits)”技術

Rootkits最早是一組用於UNIX作業系統的工具集，黑客使用它們隱藏入侵活動的痕跡。

目前，在Windows作業系統上也已經出現了大量的Rootkits工具及使用Rootkits技術編寫的軟體。這些Rootkits像就像一層鎧甲，將自身及指定的檔案保護起來，使其它軟體無法發現、修改或刪除這些檔案。

打個比喻，帶有Rootkits的流氓軟體和病毒就像練就了“金鐘罩”、“鐵布杉”，不除這種保護傘，各種防毒軟體都無法對其進行徹底清除。

Rootkits主要分為兩大類：一種是進程注入式Rootkits，另一種是驅動級Rootkits。

第一種Rootkits技術通常通過釋放動態程式庫（DLL）檔案，並將它們注入到其它軟體及系統進程中運行，通過HOOK方式對訊息進行攔截，阻止Windows及應用程式對被保護的檔案進行訪問。

第二種Rootkits技術較為複雜，其通過在Windows啟動時載入Rootkits驅動程式，獲取對Windows的控制權。當程式（Windows及防毒軟體等）通過系統API及NTAPI訪問檔案系統時進行監視，一但發現程式訪問被Rootkits保護的檔案時返回一個虛假的結果，從而達到隱藏或鎖定檔案的目的。

進程注入式Rootkits較好處理，通過使用防毒軟體的開機掃描（又名Startup Scan、 BootScan）功能都可以輕鬆清除。然而，對於第二種通過驅動級的Rootkits，由於其載入的優先權別較高，現階段還沒有一個較好的解決辦法。大多數防毒軟體在處理使用此類Rootkits技術的病毒時均出現漏查漏殺，清除失敗的現象。

目前世界上僅有少數幾家反病毒廠商，能夠處理少量的驅動級Rootkits，而且當一個新的Rootkits病毒出現時，往往需要花費很長時間才能夠處理。

瑞星公司經過對數百個驅動級Rootkits工具、使用該技術的病毒，流氓軟體以及Windows驅動載入方式分析，並進行大量試驗後，最終找到了一種高效的通用解決方法，並將其命名為“碎甲（Anti-Rootkits）”技術。

瑞星“碎甲”技術通過對Windows驅動程式載入點進行攔截，當發現Rootkits時自動使其保護功能失效，就象穿甲彈擊碎盔甲一樣。目前，此技術可以有效對付600餘種Rootkits，並且當有新的Rootkits出現時能夠迅速地進行處理。

瑞星“碎甲（Anti-Rootkits）”技術現已全面套用於瑞星卡卡安全上網助手3.0當中。用戶安裝瑞星卡卡3.0後，病毒、流氓軟體等身上的鎧甲將被擊碎，赤裸裸地曝露在防毒軟體面前。通過使用瑞星卡卡3.0，其他的不具備清除Rootkits能力的防毒軟體，均能夠輕鬆刪除帶有Rootkits保護的病毒。