菜鳥出招，降服RootKit隱形木馬

劉景云

RootKit木馬俗稱驅動木馬，和一般的木馬不同，RootKit運行于Ring0級別，具有極強的隱身性。該類木馬不僅會隱藏自身文件，還能將諸如進程、注冊表項目、端口等痕跡信息全部隱藏起來，導致殺軟和防火墻無法發現其行蹤。實際上，普通的安全軟件及時發現也無法清理，因為根本找不到該木馬的相關文件。如果黑客將其和免殺性木馬結合起來，破壞威力無疑是巨大的。聽起來RootKIt木馬似乎很可怕，讓菜鳥們心驚不已。其實菜鳥朋友大可不必慌亂，只要采取對應的手段，同樣可以讓RootKit木馬束手就擒！

請出超級巡警，讓RootKit木馬現原形

超級巡警是一款功能強悍的安全工具，可以輕松讓狡猾的RootKit木馬現出原形。例如，當某款RootKit木馬侵入本機后，其運行文件、非法開啟的端口、創建的服務均處于隱藏狀態，使用殺軟等常規工具無法發現其蹤跡。不過，在超級巡警面前，其狐貍尾巴就露出來了。運行超級巡警工具箱，在其主界面（如圖1）的“進程管理”面板中顯示當前所有的進程信息，其中以紅色顯示的就是處于隱身狀態的可疑進程，可以看到某RootKit木馬進程赫然在列，該進程在任務管理器中是不會顯示的。在該進程的右鍵菜單上點擊“中止當前進程”項，就可以將其強制關閉。

不過為了更好地攔截該木馬，最好在其右鍵菜單上點擊“禁止進程創建”項，這樣只要超級巡警為您“站崗”，該RootKit病毒就無法繼續猖狂。在“服務管理”面板中顯示所有服務項目，其中以黃色顯示的服務為可疑服務，從中找出和RootKit木馬關聯的服務項目，在其上點擊右鍵，在彈出菜單點擊“刪除服務”、“刪除服務和映像文件”等項目，將其停止并刪除。

按照同樣方法，在“網絡管理”、“內核管理”、“擴展功能”等面板中，可以將被RootKit病毒隱藏的端口、文件、注冊表以及被掛鉤的函數全部顯示出來，您可以根據情況進行關停刪除等操作。當然，如果您想簡單快捷地清除RootKit木馬，可以運行卡巴斯基提供的TDSSkiller這款專門對付RootKit的工具，在其主界面（如圖2）中點擊“Start scan”按鈕，可以檢測并清除RootKit木馬進程、服務、文件等內容，讓其無法危害您的系統。

亮出照妖鏡，徹底曝光RootKit木馬

超級巡警是一款國產安全工具，操作起來很容易。實際上，還有很多國外的安全軟件，也可以輕松應對RootKit木馬，例如XueTr、IceSword、GMER、Sophos Anti-Rootkit、Rootkit Detective、RootkitBuste等等，這里限于篇幅無法逐一介紹。例如，Sophos Anti-Rootkit就是其中的佼佼者，該工具功能強悍，使用起來簡單方便。這里就介紹如何利用該工具，發現并驅逐RootKit木馬。

Sophos Anti-Rootkit可以對隱藏在系統進程、注冊表、硬盤中的RootKit程序進行全面掃描，在其主窗口（如圖3）點擊“Start scan”按鈕，即可對RootKit程序的上述藏身處進行徹底檢測，在彈出的窗口中顯示掃描的進度，在其中的文件列表中顯示檢測到的RootKit程序，在“Description”列中顯示RootKit程序的名稱，在“Location”列中顯示對應的文件路徑。從列表選中某個RootKit程序，在屬性欄中可以列出其詳細信息。

在其中的第四行（即文件標志欄）中如果顯示為“Removable：No”，表示該RootKit程序不可以隨意清除，如果顯示為“Removable：Yes（clean up recommanded）”，表示可以清除該RootKit程序，如果顯示為“Removable：Yes（but clean up not recommanded for this file）”，表示雖然可以清除該RootKit程序，但是Sophos Anti-Rootkit不建議用戶這樣做。之所以有些RootKit不能隨意清除，是因為Sophos Anti-Rootkit考慮到這可能影響到系統的穩定性。當掃描完成后，所有可以清除的RootKit程序自動處于選定狀態，當然，如果有把握的話，您也可以選中所有的RootKit程序，之后點擊“Cleanup checked items”按鈕，在彈出的對話框中點擊“Yes”按鈕，Sophos Anti-Rootkit即可清除所有選定的RootKit程序，之后重啟系統，潛伏系統中的RootKit后門程序就會徹底消失了。

巧借系統權限，清除RootKit木馬

除了使用安全軟件對付RootKIt木馬外，其實還可以使用NTFS文件系統提供的權限設置功能，讓RootKit病毒露出馬腳。例如，很多RootKit病毒喜歡將自身變成看似合法的驅動程序文件，藏身到“C：＼Windows＼system32＼drivers”文件夾中，來擺脫用戶的追捕。只要對其進行權限控制，就可以有效防止RootKit木馬駐扎。

這里以Windows 7為例進行說明，為了便于實現操作，可以從網上下載名為“管理員取得所有權.reg”的文件，雙擊該文件，將其內容導入注冊表。之后在“C：＼Windows＼system32＼drivers”文件夾的右鍵菜單上點擊“管理員取得所有權”項，可以立即針對其中的所有文件執行權限變更命令。在“C：＼Windows＼system32＼drivers”文件夾的右鍵菜單點擊“屬性”項，在彈出窗口的“安全”面板中點擊“編輯”按鈕，在權限編輯窗口（如圖4）的“組或用戶名”列表中選擇 “Users”組，在下面的權限設置列表中的“拒絕”列中勾選“寫入”、“修改”等項。這樣就可以限制RootKit木馬向該文件夾中寫入數據了。當然，如果有多個需要控制權限的賬戶或者組，您可以分別為其取消“寫入”等權限即可。如果有RootKit木馬試圖向該文件夾中寫入偽裝的驅動文件，就會因為權限不足而無法進行。當然，如果對“C：＼Windows＼system32”文件夾進行同樣的權限設置，可以大大提高系統的安全性。