如何使用程序有效地检测rootkit等恶意代码

对一般用户而言，如何有效地检测rootkit等恶意代码，要比如何去设置系统避免rootkit的侵害要更加实惠，笔者总结如今最流行的rootkit检测工具，为用户介绍最四大检测rootkit工具：

工具一：Sysinternals

Sysinternals提供了许多小巧的Windows实用程序，这对于对付底层的攻击效果显著，其所提供的的部分软件是免费的，包括一些开源软件及私有软件。被最广泛使用的有：

ProcessExplorer：它可以监视由任一个程序打开的文件和目录。

PsTools：可以管理本地和远程的过程。

Autoruns：可以发现在系统启动期间有哪些程序被运行。

RootkitRevealer：可以检测注册表和文件系统的API变化情况，这些变化指明了某个用户模式或内核模式rootkit的存在。

TCPView：可以查看由每一个过程使用的TCP和UDP通信点。

工具二：Tripwire

这是一款重量级的文件和目录集成检测工具。Tripwire可以帮助系统管理员和用户监视指定文件的任何改变。与系统文件结合使用，Tripwire可以通知系统管理员文件变动情况，从而便于及时采取应对措施。用户可以从Tripwire.Org的站点下载免费的（适用于Linux）开源版本。UNIX用户可以考虑使用AIDE，AIDE被认为是替代Tripwire的免费版本。当然还可以考虑Radmind、RKHunter以及chkrootkit.Windows用户可以考虑使用如RootkitRevealer等系统。

工具三：RKHunter

RKHunter是为UNIX设计的Rootkit检测程序，可检查用户系统上多种恶意软件行为，如rootkit、后门程序以及利用本地漏洞的程序。它可以运行多种测试，包括MD5、HASH比较、rootkit默认文件名、二进制文件许可，以及在LKM和KLD模块中的可疑字符串。

工具四：chkrootkit

Chkrootkit可以在本地检查一个rootkit的迹象。Chkrootkit是一个灵活的便携式工具，它可以检查基于UNIX系统的rootkit入侵的行为。其特性包括：检测二进制的改变、检测对文件utmp/wtmp/lastlog的修改、检测恶意的内核模块等。

当然还有很多优秀的rootkit检测工具，用户可以根据自己的需求去选择它，但笔者以为只有通过养成良好的使用习惯，才是最好的安全预防手段