检测并删除Rootkit

Question

什么是最好的(希望是免费或便宜的)方法来检测，然后，如果有必要，删除在您的机器上找到的rootkit？

Answer 1

SysInternals在几年前就停止更新RootKit探宝器了。

检测rootkit的唯一可靠方法是对已知文件及其参数的可信列表中的已安装文件和文件系统元数据进行脱机比较。显然，您需要信任运行比较的机器。

在大多数情况下，对于大多数人来说，使用引导cdrom运行病毒扫描程序是可行的。

否则，您可以从全新安装开始，从cdrom启动，连接外部驱动器，运行perl脚本来查找和收集参数(大小、md5、sha1)，然后存储这些参数。

要进行检查，可以运行一个perl脚本来查找和收集参数，然后将它们与存储的参数进行比较。

此外，您还需要一个perl脚本来在系统更新后更新存储的参数。

--编辑--更新它以反映可用的技术。如果你得到一份带有最新程序"chntpasswd“的可启动的救援光盘(如三位一体或救援盘)的拷贝，你将能够脱机浏览和编辑windows注册表。

再加上castlecops.com的启动列表副本，您应该能够找到最常见rootkits的最常见运行点。并且总是跟踪你的驱动程序文件，以及什么是好的版本。

有了这种级别的控制，您最大的问题将是删除rootkit和特洛伊木马后，注册表中留下的一团糟的意大利面。通常是这样。

--编辑--还有windows工具。但我描述了我熟悉的工具，这些工具都是免费的，并且有更好的文档。

Answer 2

来自SysInternals的Rootkit revealer

Answer 3

记住，你永远不能一台被攻破的机器。你可能认为你发现了rootkit的所有迹象，但攻击者可能在其他地方创建了后门。你使用的工具不会检测到非标准的后门。通常，您应该从头开始重新安装受损的计算机。