RootKit木馬俗稱驅(qū)動木馬，和一般的木馬不同，RootKit運行于Ring0級別，具有極強的隱身性。該類木馬不僅會隱藏自身文件，還能將諸如進程、注冊表項目、端口等痕跡信息全部隱藏起來，導致殺軟和防火墻無法發(fā)現(xiàn)其行蹤。實際上，普通的安全軟件及時發(fā)現(xiàn)也無法清理，因為根本找不到該木馬的相關(guān)文件。如果黑客將其和免殺性木馬結(jié)合起來，破壞威力無疑是巨大的。聽起來RootKIt木馬似乎很可怕，讓菜鳥們心驚不已。其實菜鳥朋友大可不必慌亂，只要采取對應(yīng)的手段，同樣可以讓RootKit木馬束手就擒！

　　1.請出超級巡警，讓RootKit木馬現(xiàn)原形

　　超級巡警是一款功能強悍的安全工具，可以輕松讓狡猾的RootKit木馬現(xiàn)出原形。例如，當某款RootKit木馬侵入本機后，其運行文件、非法開啟的端口、創(chuàng)建的服務(wù)均處于隱藏狀態(tài)，使用殺軟等常規(guī)工具無法發(fā)現(xiàn)其蹤跡。不過，在超級巡警面前，其狐貍尾巴就露出來了。運行超級巡警工具箱，在其主界面的“進程管理”面板中顯示當前所有的進程信息，其中以紅色顯示的就是處于隱身狀態(tài)的可疑進程，可以看到某RootKit木馬進程赫然在列，該進程在任務(wù)管理器中是不會顯示的。在該進程的右鍵菜單上點擊“中止當前進程”項，就可以將其強制關(guān)閉。

　　不過為了更好地攔截該木馬，最好在其右鍵菜單上點擊“禁止進程創(chuàng)建”項，這樣只要超級巡警為您“站崗”，該RootKit病毒就無法繼續(xù)猖狂。在“服務(wù)管理”面板中顯示所有服務(wù)項目，其中以黃色顯示的服務(wù)為可疑服務(wù)，從中找出和RootKit木馬關(guān)聯(lián)的服務(wù)項目，在其上點擊右鍵，在彈出菜單點擊“刪除服務(wù)”、“刪除服務(wù)和映像文件”等項目，將其停止并刪除。

　　按照同樣方法，在“網(wǎng)絡(luò)管理”、“內(nèi)核管理”、“擴展功能”等面板中，可以將被RootKit病毒隱藏的端口、文件、注冊表以及被掛鉤的函數(shù)全部顯示出來，您可以根據(jù)情況進行關(guān)停刪除等操作。當然，如果您想簡單快捷地清除RootKit木馬，可以運行卡巴斯基提供的TDS Skiller這款專門對付RootKit的工具，在其主界面中點擊“Startscan”按鈕，可以檢測并清除RootKit木馬進程、服務(wù)、文件等內(nèi)容，讓其無法危害您的系統(tǒng)。

　　2.亮出照妖鏡，徹底曝光RootKit木馬

　　超級巡警是一款國產(chǎn)安全工具，操作起來很容易。實際上，還有很多國外的安全軟件，也可以輕松應(yīng)對RootKit木馬，例如XueTr、IceSword、GMER、SophosAnti-Rootkit、RootkitDetective、RootkitBuste等等，這里限于篇幅無法逐一介紹。例如，SophosAnti-Rootkit就是其中的佼佼者，該工具功能強悍，使用起來簡單方便。這里就介紹如何利用該工具，發(fā)現(xiàn)并驅(qū)逐RootKit木馬。

　　SophosAnti-Rootkit可以對隱藏在系統(tǒng)進程、注冊表、硬盤中的RootKit程序進行全面掃描，在其主窗口點擊“Startscan”按鈕，即可對RootKit程序的上述藏身處進行徹底檢測，在彈出的窗口中顯示掃描的進度，在其中的文件列表中顯示檢測到的RootKit程序，在“Description”列中顯示RootKit程序的名稱，在“Location”列中顯示對應(yīng)的文件路徑。從列表選中某個RootKit程序，在屬性欄中可以列出其詳細信息。

　　在其中的第四行（即文件標志欄）中如果顯示為“Removable：No”，表示該RootKit程序不可以隨意清除，如果顯示為“Removable：Yes（clean up recommanded）”，表示可以清除該RootKit程序，如果顯示為“Removable：Yes（but clean up not recommanded for this file）”，表示雖然可以清除該RootKit程序，但是Sophos Anti-Rootkit不建議用戶這樣做。之所以有些RootKit不能隨意清除，是因為Sophos Anti-Rootkit考慮到這可能影響到系統(tǒng)的穩(wěn)定性。當掃描完成后，所有可以清除的RootKit程序自動處于選定狀態(tài)，當然，如果有把握的話，您也可以選中所有的RootKit程序，之后點擊“Clean up checked items”按鈕，在彈出的對話框中點擊“Yes”按鈕，Sophos Anti-Rootkit即可清除所有選定的RootKit程序，之后重啟系統(tǒng)，潛伏系統(tǒng)中的RootKit后門程序就會徹底消失了。

　　3.巧借系統(tǒng)權(quán)限，清除RootKit木馬

　　除了使用安全軟件對付RootKIt木馬外，其實還可以使用NTFS文件系統(tǒng)提供的權(quán)限設(shè)置功能，讓RootKit病毒露出馬腳。例如，很多RootKit病毒喜歡將自身變成看似合法的驅(qū)動程序文件，藏身到“C：Windowssystem32drivers”文件夾中，來擺脫用戶的追捕。只要對其進行權(quán)限控制，就可以有效防止RootKit木馬駐扎。

　　這里以Windows7為例進行說明，為了便于實現(xiàn)操作，可以從網(wǎng)上下載名為“管理員取得所有權(quán).reg”的文件，雙擊該文件，將其內(nèi)容導入注冊表。之后在“C：Windowssystem32drivers”文件夾的右鍵菜單上點擊“管理員取得所有權(quán)”項，可以立即針對其中的所有文件執(zhí)行權(quán)限變更命令。在“C：Windowssystem32drivers”文件夾的右鍵菜單點擊“屬性”項，在彈出窗口的“安全”面板中點擊“編輯”按鈕，在權(quán)限編輯窗口的“組或用戶名”列表中選擇“Users”組，在下面的權(quán)限設(shè)置列表中的“拒絕”列中勾選“寫入”、“修改”等項。這樣就可以限制RootKit木馬向該文件夾中寫入數(shù)據(jù)了。當然，如果有多個需要控制權(quán)限的賬戶或者組，您可以分別為其取消“寫入”等權(quán)限即可。如果有RootKit木馬試圖向該文件夾中寫入偽裝的驅(qū)動文件，就會因為權(quán)限不足而無法進行。當然，如果對“C：Windowssystem32”文件夾進行同樣的權(quán)限設(shè)置，可以大大提高系統(tǒng)的安全性。

　　文/劉景云

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……