菜鸟出招，降服RootKit隐形木马

　　RootKit木马俗称驱动木马，和一般的木马不同，RootKit运行于Ring0级别，具有极强的隐身性。该类木马不仅会隐藏自身文件，还能将诸如进程、注册表项目、端口等痕迹信息全部隐藏起来，导致杀软和防火墙无法发现其行踪。实际上，普通的安全软件及时发现也无法清理，因为根本找不到该木马的相关文件。如果黑客将其和免杀性木马结合起来，破坏威力无疑是巨大的。听起来RootKIt木马似乎很可怕，让菜鸟们心惊不已。其实菜鸟朋友大可不必慌乱，只要采取对应的手段，同样可以让RootKit木马束手就擒！

　　1.请出超级巡警，让RootKit木马现原形

　　超级巡警是一款功能强悍的安全工具，可以轻松让狡猾的RootKit木马现出原形。例如，当某款RootKit木马侵入本机后，其运行文件、非法开启的端口、创建的服务均处于隐藏状态，使用杀软等常规工具无法发现其踪迹。不过，在超级巡警面前，其狐狸尾巴就露出来了。运行超级巡警工具箱，在其主界面的“进程管理”面板中显示当前所有的进程信息，其中以红色显示的就是处于隐身状态的可疑进程，可以看到某RootKit木马进程赫然在列，该进程在任务管理器中是不会显示的。在该进程的右键菜单上点击“中止当前进程”项，就可以将其强制关闭。

　　不过为了更好地拦截该木马，最好在其右键菜单上点击“禁止进程创建”项，这样只要超级巡警为您“站岗”，该RootKit病毒就无法继续猖狂。在“服务管理”面板中显示所有服务项目，其中以黄色显示的服务为可疑服务，从中找出和RootKit木马关联的服务项目，在其上点击右键，在弹出菜单点击“删除服务”、“删除服务和映像文件”等项目，将其停止并删除。

　　按照同样方法，在“网络管理”、“内核管理”、“扩展功能”等面板中，可以将被RootKit病毒隐藏的端口、文件、注册表以及被挂钩的函数全部显示出来，您可以根据情况进行关停删除等操作。当然，如果您想简单快捷地清除RootKit木马，可以运行卡巴斯基提供的TDS Skiller这款专门对付RootKit的工具，在其主界面中点击“Startscan”按钮，可以检测并清除RootKit木马进程、服务、文件等内容，让其无法危害您的系统。

　　2.亮出照妖镜，彻底曝光RootKit木马

　　超级巡警是一款国产安全工具，操作起来很容易。实际上，还有很多国外的安全软件，也可以轻松应对RootKit木马，例如XueTr、IceSword、GMER、SophosAnti-Rootkit、RootkitDetective、RootkitBuste等等，这里限于篇幅无法逐一介绍。例如，SophosAnti-Rootkit就是其中的佼佼者，该工具功能强悍，使用起来简单方便。这里就介绍如何利用该工具，发现并驱逐RootKit木马。

　　SophosAnti-Rootkit可以对隐藏在系统进程、注册表、硬盘中的RootKit程序进行全面扫描，在其主窗口点击“Startscan”按钮，即可对RootKit程序的上述藏身处进行彻底检测，在弹出的窗口中显示扫描的进度，在其中的文件列表中显示检测到的RootKit程序，在“Description”列中显示RootKit程序的名称，在“Location”列中显示对应的文件路径。从列表选中某个RootKit程序，在属性栏中可以列出其详细信息。

　　在其中的第四行（即文件标志栏）中如果显示为“Removable：No”，表示该RootKit程序不可以随意清除，如果显示为“Removable：Yes（clean up recommanded）”，表示可以清除该RootKit程序，如果显示为“Removable：Yes（but clean up not recommanded for this file）”，表示虽然可以清除该RootKit程序，但是Sophos Anti-Rootkit不建议用户这样做。之所以有些RootKit不能随意清除，是因为Sophos Anti-Rootkit考虑到这可能影响到系统的稳定性。当扫描完成后，所有可以清除的RootKit程序自动处于选定状态，当然，如果有把握的话，您也可以选中所有的RootKit程序，之后点击“Clean up checked items”按钮，在弹出的对话框中点击“Yes”按钮，Sophos Anti-Rootkit即可清除所有选定的RootKit程序，之后重启系统，潜伏系统中的RootKit后门程序就会彻底消失了。

　　3.巧借系统权限，清除RootKit木马

　　除了使用安全软件对付RootKIt木马外，其实还可以使用NTFS文件系统提供的权限设置功能，让RootKit病毒露出马脚。例如，很多RootKit病毒喜欢将自身变成看似合法的驱动程序文件，藏身到“C：Windowssystem32drivers”文件夹中，来摆脱用户的追捕。只要对其进行权限控制，就可以有效防止RootKit木马驻扎。

　　这里以Windows7为例进行说明，为了便于实现操作，可以从网上下载名为“管理员取得所有权.reg”的文件，双击该文件，将其内容导入注册表。之后在“C：Windowssystem32drivers”文件夹的右键菜单上点击“管理员取得所有权”项，可以立即针对其中的所有文件执行权限变更命令。在“C：Windowssystem32drivers”文件夹的右键菜单点击“属性”项，在弹出窗口的“安全”面板中点击“编辑”按钮，在权限编辑窗口的“组或用户名”列表中选择“Users”组，在下面的权限设置列表中的“拒绝”列中勾选“写入”、“修改”等项。这样就可以限制RootKit木马向该文件夹中写入数据了。当然，如果有多个需要控制权限的账户或者组，您可以分别为其取消“写入”等权限即可。如果有RootKit木马试图向该文件夹中写入伪装的驱动文件，就会因为权限不足而无法进行。当然，如果对“C：Windowssystem32”文件夹进行同样的权限设置，可以大大提高系统的安全性。

　　文/刘景云