防范Rootkit造成的安全威胁(2)

　　Rootkit阴险地潜入

　　Rootkit可存在于内核、库、和应用程序的层次上。内核级的Rootkit特别危险，是人们注意的中心，因为它们十分地难于检测。Rootkit的一个真正狡猾的特点就是：有一些类型的Rootkit可以将其自身与操作系统紧密地绑定，实际上，几乎不可能检测它们。其结果是，Rootkit可以以这种方式取代操作系统，如此一来，用户就不能相信操作系统传给用户的信息。

　　传统的反间谍软件和反病毒程序在这种情况下是无能为力的，因为它们依靠操作系统自身来寻求状态信息，而操作系统却已被控制。虽然一些Rootkit实际上相当阴险，不过，事实上许多Rootkit可通过关机，然后从另一个干净的磁盘重新启动来检测到。毕竟一个非活动的Rootkit是无法隐藏自己的。

　　感染了Rootkit怎么办？

　　有一种观点认为，在感染之前（或者没有被安装Rootkit）），只需备份系统，然后重新格式化磁盘再恢复系统是个好办法。无可否认，这是针对此问题的一个极端的方法。现在有多种免费的或开源的Rootkit检测工具来解决问题，不过这并非是真正的安全之道。用户应谨慎地选择这种软件。特别是免费的Rootkit检测工具并不能像商业软件那样及时更新，而此Rootkit的发展步伐又是如此之快，因此我们还要寻求其它的方法。

　　因为Rootkit经常被用作间谍软件的平台，配置最好的可以解决Rootkit问题的商业软件或硬件厂商通常是那些有着丰富的间谍软件检测和清除经验的公司。一个Rootkit的检测和清除程序使用多维向量来确认问题。这种程序还应该有最新的被确认的Rootkit的列表，从而确保那些新出现的Rootkit不会成为漏网之鱼。这也就是用户及时更新其签名文件的重要原因。