“四大护法”让Rootkit难逃“法”网

《倚天屠龙记》中明教四大护法技艺超群，给我们留下了深刻印象。今天我们也要谈对付rootkit的四大护法。还记得前几天笔者在赛迪网上发表了一篇《简单小方法让你远离来自Rootkit的威胁》的小文，其中谈到了检测技术和防御方法。不过，对我们一般用户而言，最实惠的当然是如何有效地检测这种恶意代码了。下面谈得是对付rootkit的四个非常有效的工具：

护法一：Sysinternals

Sysinternals提供了许多小巧的Windows实用程序，这对于对付低层的攻击特别有用。其中的一些软件是免费的，也有一些开源软件和私有软件。现在普遍看好的有：

ProcessExplorer：它可以监视由任何一个程序（如UNIX中的LSoF）打开的文件和目录。

PsTools：可以管理（执行、挂起、清除）本地和远程的过程。

Autoruns：可以发现在系统启动期间有哪些程序被运行了。

RootkitRevealer：可以检测注册表和文件系统的API差异，这些差异指明了某个用户模式或内核模式rootkit的存在。

TCPView：可以查看由每一个过程（如UNIX中的Netstat）使用的TCP和UDP通信点。

微软在2006年7月把Sysinternals搞到手后，向用户承诺将能够支持Sysinternals的高级组件、技术信息和源代码。不过，还不到四个月，微软就清除了几乎所有的源代码。因此，其未来的产品方向还不确定。

护法二：Tripwire

这是一款重量级的文件和目录集成检查程序。Tripwire可以帮助系统管理员和用户监视指定文件的任何改变。与系统文件结合使用， Tripwire可以通知系统管理员受损的或被篡改的文件，从而便于及时采取应对措施。用户可以从Tripwire.Org的站点下载免费的（适用于 Linux）开源版本。UNIX用户可以考虑使用AIDE，这是一个可被认为是替代Tripwire的免费版本。或者你还可以考虑Radmind, RKHunter, 或者 chkrootkit。Windows用户可以考虑使用如RootkitRevealer等系统。

护法三：RKHunter：一个UNIX的Rootkit检测程序

RKHunter可以检查用户系统上多种恶意软件的迹象，如rootkit,后门程序和本地的漏洞利用程序。它可以运行多种测试，包括MD5 HASH(哈希)比较、rootkit使用的默认文件名、错误的二进制文件许可，以及在LKM和KLD模块中的可疑字符串。

护法四：chkrootkit

Chkrootkit可以在本地检查一个rootkit的迹象。Chkrootkit是一个灵活的便携式工具，它可以检查基于UNIX系统的 rootkit入侵的许多迹象。其特性包括：检测二进制的改变、检测对utmp/wtmp/lastlog的修改、检测恶意的内核模块等。