F-Secure BlackLight的Rootkit清除技术可以检测普通用户和安全工具无法找到的对象，并向用户提供一个清除rootkit的选择。此工具可以对系统进行深度检查，从而使其可以检测普通安全软件无法清除的威胁。

这种Rootkit清除技术有三个优点：

1.它可以检测并清除计算机中活动的rootkit。要知道，传统的反病毒扫描程序是无法做到这一点的。

2.在一个普通的系统上，这种技术并不会让用户看到那种令人感到迷茫的可疑对象列表，这样一来即使普通用户也可以使用它。

3.这种技术还可以在用户的系统操作期间用于后台的工作。其它的许多rootkit扫描器在扫描期间如果系统正被用户使用的话，将要求系统重启，或者生成虚假的信息。

正是因为它容易上手、便于操作等特点，使得BlackLight既可用于企业环境，可以用于普通的家用电脑。下图展示的就是F-Secure Internet security 2008.jpg，它集成了检测rootkit的功能。（下图1）

这款工具的使用是相当简单的，用户只需要运行Blacklight　Rootkit Eliminator软件即可。不过，现在这款软件的最新功能已经集成到F-Secure Internet security 2008中。

RootkitRevealer是一款高级的rootkit检测程序，它可以成功地检测www.rootkit.com网站上所公布的所有顽固的rootkit。使用RootkitRevealer时一个需要注意的方面是它不再使用命令行版本，因为一些恶意软件作者通过使用其可执行的文件名而开始采取相应的对抗手段。此软件的开发者重新修改了软件，使其可以从一个随机的文件副本启动扫描。注意，用户可以使用命令行选项来执行自动扫描，并将结果记录到一个文件中，这与命令行版本的行为是等同的。（下图2）

但是，现在的rootkit技术已非同寻常。理论上讲，如果某种rootkit针对此工具采取了躲避技术，那么RootkitRevealer有可能无法检测到其存在。要达到这种效果，它就得截获RootkitRevealer从注册表中所读取的数据或文件系统中的数据。这种技术的要求极高。一般的黑客很难做到，但并非不可能。

RootkitRevealer支持几处自动扫描系统的选择，其用法为：

rootkitrevealer [-a [-c] [-m] [-r] 输出的文件名]

其中，-a表示自动扫描，在完成后退出；-c表示输出格式为CSV；-m表示显示NTFS元数据文件；-r表示不扫描注册表；这里的输出文件的一般格式为文本文件。

比如，如果RootkitRevealer检测到了一种流行的HackerDefender确rootkit ：注册表的key差异显示了存储HackerDefender设备驱动程序的注册表key和服务设置对Windows API是不可见的，但却展示在了注册表的原始扫描数据中。同样的，与hackerdefender相关的文件对windows API的目录扫描是不可见的，但却展示在了原始文件系统数据的扫描中：

管理员或用户应当检测所有的这些差异，并决定这种差异指明rootkit存在的可能性。但并没有什么确定的方法告诉我们怎样决定，这主要依靠的是输出结果和用户的知识、经验。如果用户认为确实感染了rootkit，就可以上网搜索清除办法。如果用户不能确定如何清除，就应当用干净的媒体重新格式化系统盘，并重新安装系统。

上一页  [1] [2] [3] 下一页