2、全面出击清除RootKit

　　那是否意味着我们就无能为力呢?俗话说“邪不胜正”，与RootKit就有反RootKit。我们就以清除上面的Hacker defende为例揪出刚才创建的隐藏帐户。

　　(1).深入扫描进行驱动级别分析

　　RootKit往往是驱动级别的，因此它比一般的应用程序更加靠近底层，清除起来更加的棘手。清除请进程扫描是必要的，RootKit Hook Analyzer是一款Rookit分析查询工具，利用它可以扫描分析出系统中存在的RooKit程序。该工具是英文程序，安装并运行点击其界面中下方的“Analyze”按钮就可以进行扫描分析，列出系统中的RooKit程序，勾选“Show hooked services only”就可以进行筛选值列出RooKit ervices。当然，类似这样的工具还有很多，我们可以根据自己的需要进行选择。(图10)

　　(2).通通透透看进程

　　RootKit的程序进程往往是隐藏性或者嵌入型的，通过Windows的“任务管理器”是无法看到的。我们可以利用一款强大的进程工具IceSword(冰刃)来查看。运行IceSword点击“进程”按钮，就可以列出当前系统中的进程，其中红色显示的是可疑进程。我们可以看到hxdef100.exe进程赫然其中，这真是我们刚才运行的RootKit。在该进程上点击右键选择“结束”进程。这时hxdef100.exe和hxdef100.ini文件显身了，再刷新并查看注册表，刚才消失的两个键值有重现了。(图11)

　　(3).专业工具查杀

　　利用IceSword进行RooKit的分析和并结束其进程不失为反RooKit的一种方法，但有的时候冰刃并不能分析出RootKit，因此我们就要比较专业的工具。比如卡巴斯基、超级巡警等都是不错的选择。下图就是通过超级巡警检测到的RootKit病毒。(图12)

　　总结：当然，在Windows系统中“正”与“邪”此消彼长，战争中没有永远的胜利者。我们只有深入了解，主动出击才能掌握主动权。