磁盘分析过程，就是把被入侵电脑的一个磁盘映像文件或一个物理的一致性副本，通过一系列复杂过程提炼成一组未知二进制文件的过程，这些未知二进制文件就包含需要取证的恶意软件。而rootkit要做的事情正好相反，破坏取证人员的这个过程；我们有两种策略来做这件事情，一是焦土策略——使用大量垃圾二进制文件充斥系统，使取证人员花费昂贵的时间代价来从中找出我们的恶意程序。二被称作低且慢策略，我们通过绕过检测工具，使自己不会出现在这些未知二进制文件当中，这是rootkit推崇的策略，也更具难度。

rootkit取证之磁盘分析