检测Windows 平台rootkit的四大利器

　　如果可以找到一个未受感染的测试系统的副本，将其作为参考，那么执行一个文件到文件的比较可以作为一种检测方法。 在这种情况下，rookkit及其装载文件就可以被轻易地检测到。

　　然而事实上这种情况是很少碰到的，因为很多人没有其系统的参考副本，更何况系统是动态变化的，系统中总要发生一些合法的改变，而这种改变使得文件的比较更为困难。

　　实际情况下，rootkit的检测程序往往是在可能受感染的系统内部着手工作的。此时检测rootkit就成为一种艰难的任务。更何况rootkit的开发者们意识到了一些新技术的使用，便不断地开发其产品的新版本，目的是逃避新的检测方法。事实上，检测与逃避检测也就成为猫和老鼠的捉迷藏游戏。

　　这种情况也就要求用户不应当局限于这样一种观念：某个特定的rootkit检测程序是最好的。事实上，笔者建议用户要采用几种检测程序。用户还应当及时升级检测程序，因为道和魔的斗争是不断升级变化的。

　　现在有许多rootkit检测程序都可以使用，但多数都是针对特定rootkit程序的，笔者将为您推荐四个通用的、并不针对某种rootkit的检测程序，而且推荐你最好使用多个工具，这样就增加了检测到多数最新rootkit的机率。要知道，rootkit扫描程序不像防病毒软件那样“一山不容二虎”。

　　总体而言，内核模式的rootkit可以控制系统的任何方面，因此经由API返回的信息(包括注册表和文件系统的数据)都有可能遭到破坏。虽然比较一个系统的在线扫描和离线扫描(如启动进入到一个基于CD的操作系统即光盘启动)比较可靠，但rootkit可以针对这种工具逃避检测。这样说来,不可能存在一个统一的绝对可靠的rootkit扫描器。