四大工具 揪出系统中的Rootkit

　　对一般用户而言，如何有效地检测rootkit等恶意代码，要比如何去设置系统避免rootkit的侵害要更加实惠，笔者总结如今最流行的rootkit检测工具，为用户介绍最四大检测rootkit工具： 中国网管论坛bbs.bitsCN.com

　　工具一：Sysinternals

网管网www_bitscn_com

　　Sysinternals提供了许多小巧的Windows实用程序，这对于对付底层的攻击效果显著，其所提供的的部分软件是免费的，包括一些开源软件及私有软件。被最广泛使用的有：

　　ProcessExplorer：它可以监视由任一个程序打开的文件和目录。 网管u家u.bitscn@com

　　PsTools：可以管理本地和远程的过程。 网管联盟bitsCN_com

　　Autoruns：可以发现在系统启动期间有哪些程序被运行。

　　RootkitRevealer：可以检测注册表和文件系统的API变化情况，这些变化指明了某个用户模式或内核模式rootkit的存在。

　　TCPView：可以查看由每一个过程使用的TCP和UDP通信点。 网管论坛bbs_bitsCN_com

　　工具二：Tripwire

　　这是一款重量级的文件和目录集成检测工具。Tripwire可以帮助系统管理员和用户监视指定文件的任何改变。与系统文件结合使用，Tripwire可以通知系统管理员文件变动情况，从而便于及时采取应对措施。用户可以从Tripwire.Org的站点下载免费的（适用于Linux）开源版本。UNIX用户可以考虑使用AIDE，AIDE被认为是替代Tripwire的免费版本。当然还可以考虑Radmind、RKHunter以及chkrootkit.Windows用户可以考虑使用如RootkitRevealer等系统。 网管bitscn_com

　　工具三：RKHunter

　　RKHunter是为UNIX设计的Rootkit检测程序，可检查用户系统上多种恶意软件行为，如rootkit、后门程序以及利用本地漏洞的程序。它可以运行多种测试，包括MD5、HASH比较、rootkit默认文件名、二进制文件许可，以及在LKM和KLD模块中的可疑字符串。

　　工具四：chkrootkit

　　Chkrootkit可以在本地检查一个rootkit的迹象。Chkrootkit是一个灵活的便携式工具，它可以检查基于UNIX系统的rootkit入侵的行为。其特性包括：检测二进制的改变、检测对文件utmp/wtmp/lastlog的修改、检测恶意的内核模块等。

　　当然还有很多优秀的rootkit检测工具，用户可以根据自己的需求去选择它，但笔者以为只有通过养成良好的使用习惯，才是最好的安全预防手段。

网管u家u.bitsCN.com