虽然这款工具并非专用的rootkit检测和清除工具，它主要用于检测和清除许多病毒和蠕虫家族，而且它拥有检测某些 rootkit的能力。更何况，微软每月都对它进行更新，不用它就太可惜了。(下图3)

在此它支持三种扫描方式，快速扫描、完全扫描和自定义扫描。下图展示的是快速扫描：(下图4)

Rootkit Hook Analyzer

从其名字就可以看出它是一款专业的rootkit清除工具，它可以识别系统中的任何活动的钩子（hook），它可以截取软件和系统运行依赖的关键系统服务。但其目前的版本为RootKit Hook Analyzer V3.02，已经有几个月时间没有更新。(下图5)

如上图所示，在下载完此工具后，用户需要做的是找出系统上安装了哪些钩子，用户只需要按下“Analyze”按钮，它允许用户查看安装了哪些系统模块和驱动程序，并显示它们的基地址、产品信息和公司等。用户如果要将此结果导出为文本文件，单击“Export”按钮。如果它在系统中找到任何内核级钩子，而用户又确信属于一种合法的产品，那么它将准许用户实施钩子测试，并查看这些钩子是否被正确安装，并且不会对系统产生潜在的危害。 下图是笔者在自己电脑上扫描分析的结果，基本可以断定不存在非法的恶意rootkit安装。(下图6)

清除rootkit

清除rootkit涉及到两个问题，一是清除rootkit自身，二是清除rootkit秘密种植的恶意软件。因为rootkit是通过改变操作系统自身而运行的，所以清除rootkit要冒着导致系统不稳定或崩溃的风险。清除rootkit所安装的恶意软件也存在着清除任何恶意软件的一般问题。不过，如果用户没有清除rootkit，也就无法从根本上断绝恶意软件。因此，笔者认为，在用户确信系统没有感染rootkit之前，最好做一个系统文件的干净镜像，在用户怀疑自己的磁盘启动扇区可能已经不洁净时，就可以用这个镜像来恢复系统。

就目前来看，许多反病毒软件和恶意软件清除工具在面对rootkit时是无能为力的。笔者推荐用户使用BartPE及其它的预安装环境，也可以使用LiveDistros，后者允许用户用一个干净的无rootkit感染的操作系统副本来启动其计算机。如此一来也就允许用户检查并替换受感染的系统文件并删除恶意的rootkit，同时又保持底层系统的清洁。因为多数rootkit需要在操作系统的最低层钩住（hook）系统文件，所以启动进入安全模式一般来讲并不能清除rootkit进程。相比较而言，PE并不依赖于感染的底层系统结构，而是装载一个清洁的、只读性的操作系统副本，从而可以做到完全控制并删除rootkit。虽然多数管理员更喜欢从头安装一个崭新的系统，但如果重装系统不能被接受时，一个使用PE很熟练的管理员可以依靠工具来清洁受感染的系统。

避免感染rootkit

不懂防守,怎能进攻?防患于未然也许是最好的安全理念。避免感染 rootkit这种毒瘤的基本规则总体上也适用于避免任何恶意软件,但是对付它还有一些特别的考虑:

Rootkit能够干扰或从底层控制操作系统的正常运行，而要达到这个水平，就要求完全的管理员权限，否则它就无法安装。所以作为管理员，要向用户强调：使用一个拥有少量权限的受限用户来登录可以避免感染rootkit。虽然在用户需要管理员权限时，许多操作会显得不方便。但安全性永远是第一位的。

有没有更适用的方法呢？答案是肯定的。我们可以使用Process Guard和Anti Hook之类的安全工具，这种工具可以防止其它程序安装全局性的钩子。多数rootkit依赖于建立全局钩子才能实施秘密操作。如果可以避免安装全局性钩子，多数rootkit就只能“望机兴叹”了。其实，笔者所提到上面这两种工具不仅可以阻止钩子的安装，它们还拥有其它特性，如防止进程的注入等。(下图7)

笔者认为Process Guard和Anti Hook这两个工具还是比较专业的，尤其适用于那些使用高风险网络的用户（如p2p用户），还有那些下载使用破解软件的用户。有两个反钩子工具把门，可以从极大程度上阻止rootkit的感染。

总而言之，预防、检测、清除的过程是动态变化的， rootkit作者与反rootkit作者的斗争过程将是长期的，其技术上的表现就是“魔高一尺，道高一丈”。对对于普通用户而言，预防是最为关键的，如不要随意查看和下载不请自来的电子邮件及其附件就是一个好主意。

上一页  [1] [2] [3]