M$ 讲师对Rootkit的介绍

linwenwa

测Rootkit的办法是Offline OS检测。举个例子，系统自身启动，列出所有的文件，registry项，等等。然后用winPE从CD启动，再列出所有的文件，registry项。对比两个列表。在正常情况下应该是一样的。如果出现不一样的地方，就可以发现那些文件在用自身系统启动的情况下看不到。对这些文件可要注意了。

这个办法的例子是Strider/Ghostbuster，MS Research开发的。

另一种更方便的检测方法是API副作用检测。大家知道，Rootkit都或多或少的修改系统调用。那么，先通过正常的高层win32系统调用来列出系统的文件，进程，registry等等，然后再通过最底层的方式列出系统的文件，进程等等。对比两个列表，如果有不同的地方就要注意了。

这个办法的例子是RootkitRevealer，Sysinternals开发的。有兴趣的可以从Sysinternals上下载。最近闹得沸沸扬扬的Sony的Rootkit就是用它发现的。这个办法使用起来要更方便一些，但不如第一个办法保险。

至于删除Rootkit，可就比较麻烦了。User Mode的Rootkit还好办一些。Kernal Mode就难了。 如果有官方的工具和信息的话，就直接使用。如果没有的话，那只有重新安装系统才能真正确保删除Rootkit。

本篇文章来源于 新世纪网安基地 (www.520hack.com) 原文出处：http://www.520hack.com/Article/Text5/200603/29.html