“由于顽固的rootkit都会修改API，导致使用系统API的扫描器看到的结果与存储器中实际的结果不符,RootkitRevealer则会对系统进行最高级别扫描以及最低级别扫描，并对比两者的差异从而确定系统中是否含有rootkit。最高级别扫描采用的是 Windows API 而最低级别扫描则是对文件系统或者注册表项目的原始内容进行扫描。”

　　该软件最麻烦的地方来自扫描之后。与RUBotted 或 BlackLight不同，RootkitRevealer需要用户参与判断是否要移除某个恶意软件。一般来说，用户需要上网搜索有关可疑进程的信息，并查看如何将其删除。

　　GMER

　　GMER 是一款优秀的扫描工具，可以用来扫描隐藏的服务，注册表成分以及文件等。和Rootkit Revealer一样，这款软件需要用户参与成分较多。扫描完成后 GMER 会以红色标记出恶意软件，并且可以直接对其删除。GMER 网站上对于这款软件的介绍，也得到了大部分安全专家的认可和肯定：

　　“GMER 是一款用来扫描和删除rootkit的软件。它扫描对象包括：隐藏的进程，隐藏的线程，隐藏的模块，隐藏的服务，隐藏的文件，隐藏的交换数据流( Alternate Data Streams)，隐藏的注册表键，驱动挂钩SSDT，驱动挂钩IDT，驱动挂钩IRP呼叫以及inline hook。 GMER还可以监视如下系统功能：进程创建，驱动加载，库加载，文件功能，注册表项目， TCP/IP连接。”

　  趋势科技的RUBotted

　　RUBotted 是一款后台工作的扫描软件。对于那些不想对扫描器进行过多配置或者不想对删除rootkit动作进行选择的用户来说，这款软件最为合适。它也是我在处理此类问题时的首选工具。我曾经使用RUBotted 成功的删除了Windows XP 系统中的用户模式的rootkit。
　　
　　F-Secure公司的BlackLight

　　F-Secure的 Security Center 网站上有大量实用信息，包括在线扫描器，以及我们将要介绍的BlackLight扫描器。BlackLight是一款类似RUBotted的独立的扫描软件，基本不需要用户进行交互操作。这两款扫描器的最大不同在于，BlackLight 是根据用户需要进行扫描的，它不会驻留在后台。另外网站上的removal tools 页面还提供了大量恶意软件专杀工具。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点