防范Rootkit造成的安全威胁(3)

　　记住下面一点也是很重要的：并非所有的Rootkit都是恶意的。用户并不想要一个Rootkit检测程序只是检测那些它所能够发现的恶意的Rootkit。一个良好的Rootkit检测程序还应该分辨善意和恶意的Rootkit，并能让管理员禁用或启用这些Rootkit程序。

　　检测和清除Rootkit的策略

　　从一定意义上讲，Rootkit是难于清除的，特别是对于那些处于操作系统级的Rootkit来说。不过,这又依赖于Rootkit的执行、实施方法。用户可以在操作系统内核级上安装工具软件，也可以在用户模式水平上放置一些工具。总的来说，Rootkit的目的地是对用户隐藏信息、过程和文件,因此无论是检测还是清除都是相当困难的、复杂的。一般说来，删除比检测更难于实施，因为你要确保操作系统在清除Rootkit后还能正常工作。当今的大多数Rootkit都是可以从系统中安全地清除的，但今后一、两年内，清除Rootkit可能会是一个相当重大的挑战。

　　那么检测和清除Rootkit的最困难的方面是什么呢？我们说过，Rootkit就是来隐藏信息的。这样你就再也不能真正的相信操作系统本身。一旦你的机器感染了恶意的Rootkit，那么操作系统所告诉你的任何东西都不再是真正可信的信息。因此，从操作系统中清除一个Rootkit的首要一步就是引入能够理解操作系统最低级信息的技术。例如，磁盘如何被格式化。因此对操作系统之下的技术所掌握的能力能够使你确认任何可认为是Rootkit的蛛丝马迹。换句话说，对一个操作系统的更高深的知识和能力是非常关键的。

　　科学的检测技术应位于操作系统之下，我们可以将操作系统在机器上所看到的与检测软件在操作系统最低层上所看到的相比较。如果二者匹配，操作系统极有可能是干净的、安全的，但如果二者有差异，那你就应该好好看一下了，因为这有可能是一个潜在的Rootkit感染的迹象。

　　用户可以采取以下几方面的步骤来减少总体的暴露程度和被Rootkit感染的风险：

　　1.通过尽快地确保计算机打上最新的补丁来保证系统的健康，特别是如果你采用微软的操作系统的话。不过，这条忠告适用于任何其它的操作系统或应用程序。

　　2.建议用户以非超级用户的身份登录。说来容易做来难。不过，事实是：如果你减少登录用户的权限，你就是在大大地减少被Rootkit感染的风险。

　　3.总是同时地、及时地更新你的反间谍软件和反病毒软件。

　　笔者还要建议此文的阅读者：一定要小心所谓的免费下载！一些所谓的免费下载并不是真得免费。因为你是要付出代价的。很多所谓的“免费”下载可能会包含恶意软件或Rootkit，用户完全应该采取预防措施以防止这种事情的发生。尽量从可信任的站点下载，因为它们可为用户提供一定的安全保障，但并非绝对。