检测并删除 Rootkit

Question

Closed. This question is off-topic. It is not currently accepting answers.

---

想要改进此问题吗？更新问题，使其关于- Stack Overflow 的主题。

12 年前已关闭。

Answer 1

来自 SysInternals 的 Rootkit 揭示者

Answer 2

请记住，您永远不能信任受感染的机器。 您可能认为您找到了 Rootkit 的所有迹象，但攻击者可能在其他地方创建了后门。 您使用的工具无法检测到的非标准后门。 通常，您应该从头开始重新安装受感染的计算机。

Answer 3

SysInternals 几年前停止更新 RootKit Revealer。

检测 Rootkit 的唯一可靠方法是对已知文件及其参数的可信列表中的已安装文件和文件系统元数据进行离线比较。 显然，您需要信任运行比较的机器。

在大多数情况下，对于大多数人来说，使用启动 CDROM 来运行病毒扫描程序就可以解决问题。

否则，您可以从全新安装任何东西开始，从 cdrom 启动它，连接外部驱动器，运行 perl 脚本来查找和收集参数（大小、md5、sha1），然后存储参数。

要进行检查，请运行 perl 脚本来查找和收集参数，然后将它们与存储的参数进行比较。

此外，您还需要一个 perl 脚本来在系统更新后更新存储的参数。

- 编辑 -
更新此内容以反映可用的技术。 如果您获得带有程序“chntpasswd”的最新副本的任何可启动救援CD（例如trinity或rescuecd）的副本，您将能够离线浏览和编辑Windows注册表。

结合来自 castlecops.com 的启动列表副本，您应该能够追踪最常见 Rootkit 的最常见运行点。 并始终跟踪您的驱动程序文件以及好的版本。

有了这种程度的控制，您最大的问题将是删除 rootkit 和特洛伊木马后，注册表中留下的一团乱麻。 通常。

- 编辑 -
还有 Windows 工具。 但我描述了我熟悉的工具，它们是免费的并且有更好的文档记录。