Rootkit的检测

　　通过对上述rootkit种类的简单分析，我们认为在一个被怀疑感染了rootkit的计算机上检测rootkit是不可靠的或不可信的。Rootkit可以篡改多种工具和其它所有程序赖以运行的库文件，因此rootkit检测的基本问题是，如果当前系统已经被rootkit破坏，那么它就不再值得信任。具体而言，管理员的一些操作，如列示正在运行的程序列表、列示一个文件夹内的所有文件等都未必是最初的设计者所期望的。总之，在一个活动的计算机上运行rootkit检测程序要想发挥作用只能建立在这样一个假设的基础上：所检测到的rootkit并没有采取隐藏自己的机制。

　　检测rootkit的最好方法是关闭被怀疑感染rootkit的计算机，然后用另外一个干净的硬盘或其它媒体启动计算机，再用相关的检测软件实施检查。因为一个没有运行的rootkit是无法隐藏自己的，所以我们可以使用一些通用的反恶意软件工具(如瑞星等国产安全程序套件)配合专门的反rootkit工具来检查和清除rootkit。但是，正如并非所有的反病毒软件都能检测和清除所有的病毒一样，这种检测方法是否有效也值得进一步探讨。

　　现在有许多检测rootkit的工具，如linux平台的chkrootkit、rkhunter、OSSEC、zeppoo等。Windowws平台的工具我们下面将有介绍，但就目前来看，许多rootkit编写者已经将一些检测程序加入到躲避文件列表中，也就是说它们将采取某种方法躲避检测。因此下面笔者所涉及的检测工具的效用并不是绝对的。