微软计划经理、作者和rootkit权威Kurt Dillard在网络直播活动期间回答了观众有关检测和删除Windows中的rootkits的问题。

　　问:Rootkits无所不在:实际中受到间谍软件和病毒感染的系统有多大比例是由Rootkits引起的?

　　Dillard:我很高兴你问我这个特别的问题，因为有些阅读我的有关Rootkits指南的文章或者看到我的有关Rootkits问题的网络直播的人可能会错误地以为Rootkits无处不在。甚至微软内部的人有时候也认为，每次系统出现奇怪的现象都是Rootkits在作祟。现实是，虽然我对Rootkits着迷，但是，在黑客攻破的计算机中很少见到Rootkits。我们见到Rootkits的次数似乎是越来越少了，而这类恶意软件现在确实很少见了。这种趋势是幸运的，但是，安全软件厂商正在为它们的工具增加更有效地对付Rootkits的功能。例如，微软的恶意软件清除工具就能够检测和清除各种各样的Rootkits。这个软件每个月升级一次。

　　问:你如何知道一台计算机是否是被一个Rootkits攻破的?

　　Dillard:这是我在网络直播中谈的要点，也是我为SearchWindowsSecurity.com网站撰写的一系列文章的要点:没有简单的方法知道这个原因。安全产品厂商正在改善它们的检测工具。但是，要检测被Rootkits攻破的计算机仍是很困难的。

　　问:我不能确认我家的计算机是否正在运行一个用户Rootkits。但是，当我关闭我的笔记本电脑时，我看到一个称作“hiddenshell”的对话框，笔记本电脑并没有关闭。我记不起来这个文件的扩展名了。这是不是表明存在一个Rootkits?

　　Dillard:可能不是。但是，在我本人没有看到这个系统之前，我不能给你肯定的答复。由于我不能为访问这个网站的网友提供技术支持，我想你最好与微软免费的在线技术支持部门联系一下，以便消除消费者对可能出现的恶意软件感染的担心。

　　问:备份文件中的Rootkits:当一台电脑系统遇到严重的稳定性问题时，标准的做法是为消费者备份重要的数据文件，并设法恢复这个系统。这个备份数据有可能包含Rootkits本身的隐含文件吗?我主要是说应用程序数据文件和我的文档等文件。

　　Dillard:有这种可能性。被病毒感染的系统也会出现同样的情况，最近的备份也可能会包含病毒的拷贝。因此在系统恢复之后和重新开始使用数据之前，你必须要用反间谍软件和杀毒软件对备份的数据进行扫描。

　　问:处理rootkits的方法:如果理解的正确，你的建议是采取三个步骤检测和删除rootkits:1.缩小暴露范围(不要以管理员的权限运行);2.监视行为(查找异常行为，特别是rootkits的行为);3.修复外部操作系统。这有些过于简单了。不过，这是准确的评估方法吗?

　　Dillard:你说的不错。你极大地简化了这些事情。我同意你的意见。

　　问:映射网络以便发现rootkits:如果我映射一个被攻破的计算机的网络硬盘，我会看到隐含的文件吗?

　　Dillard:使用“HackerDefender”软件可以看到网络上的隐含文件。我认为，rootkit作者也可能隐藏连接到网络的计算机中的文件。

　　问:扫描rootkit文件的名称:如果rootkit隐藏其在注册表中的注册值和文件名等信息，有没有办法利用这个文件名的一部分信息搜索rootkit的信息?

　　Dillard:没有办法。至少使用任何内置的工具都不行。

　　问:检测HackerDefender:在你提到的HackerDefender的例子中，你说这个软件隐藏了以具体字符开头的可执行文件，我的理解对吗?如果我的理解是对的，我是否可以手工制作一个以这些字符开头的可执行文件，并把这个文件放在可疑的目录中，如果在查看目录的命令“DIR”列表中没有出现这个文件名，是不是有理由认为可能存在HackerDefender?

　　Dillard:这是一个很有趣的想法。如果HackerDefender的INI文件配置为使用通配符，这种做法可能会有效。然而，我不知道这是不是一种可行的方法，因为你必须幸运地猜测出rootkit在使用什么字符串。

　　问:扫描注册表文件查找rootkits:有没有办法直接读出注册表文件(也就是.dat文件)，找着rootkits的踪迹?

　　Dillard:有各种方法在正在使用之中的计算机系统中查看注册表中的数据文件。高级的rootkits能够过滤掉你可能从注册表中收到的信息。你在正在使用的电脑中不能看到注册表文件，因为这些文件被系统锁定了。你可以离线查看注册表文件，也就是从替代的操作系统启动，然后查看注册表中的.dat数据文件。

　　问:扫描多个版本的Windows操作系统查找rootkits:我的计算机中安装了多个版本的Windows操作系统。这能够让我扫描像HackerDefender一样的已知的rootkits，对不对?

　　Dillard:是的。我在我的演示中的确描绘过这种情况。但是，我在演示中指出发现隐藏目标的另一种方法是从一个替代的操作系统启动。使用这种方法查找恶意软件是很单调的，但是，却是可能的。

　　问:采用端口封锁方式防御rootkit:封锁路由器端口是不是一个好主意?

　　Dillard:采用多层防御措施是一个好主意。我把这种方法称作是纵深防御。对你的问题要提供完整的答案需要彻底了解你的网络和你的要求。如果你说的是家庭计算机，我建议你在家庭互联网连接和内部网络连接后面使用一个_blank">防火墙，然后在每一台电脑上运行一个_blank">防火墙软件。如果你说的是企业系统，你也要使用_blank">防火墙，但是根据你的独特的情况的不同，你的_blank">防火墙的配置也有多不同。我将在下个月发表的“Rootkits防御指南”的文章中讨论这个概念，并且提供具体的例子。

　　问:Rootkits对改变审计软件的影响:Rootkits能够绕过或者欺骗TripWire软件吗?

　　Dillard:是的。我认为Rootkits能够做到这一点。

　　问:Rootkits对中小企业的影响:你能不能根据现实的例子对Rootkits对中小企业的影响做一个威胁分析?也就是说，不要提供受害者的名字，就说一下由于Rootkits对Windows操作系统造成的影响，中小企业受到了哪一种损失，破坏和付出的代价，好吗?这是一个超级演示!

　　Dillard:你太客气了，非常感谢。恶意软件在这个水平上的威胁仍是非常小的。在设法保护你的网络安全的时候，不值得把重点过多地放在rootkits方面。在谈到防御rootkits的时候，你在防御恶意软件和恶意用户方便所采取的措施同样会有效地防御rootkits，减少受到感染的威胁。这些安全措施包括周边的_blank">防火墙、强有力的口令或者用于身份识别的智能卡、最新的杀毒软件和反间谍软件、在日常工作中不允许用户以管理员的权限登录等等。我将在下个月发表的"Rootkits防御指南"的文章中讨论这个概念，并且提供具体的例子。

　　问:Rootkit检测服务:考虑到以前的Rootkit的极端复杂性，家庭用户要检测出Rootkit是很困难的。微软能不能根据消费者的需求为消费者或者服务部门提供一项检测Rootkit的特别服务?如果能够提供这种服务的话，收费的标准是什么?

　　Dillard:又是一个大问题。微软的确为受到恶意软件危害的受害者提供了免费的技术支持。但是，这种技术支持不是专门针对Rootkit的。微软的技术支持包括各种类型的恶意软件，包括病毒、蠕虫、间谍软件和Rootkit。

　　问:Longhorn的反Rootkit软件功能:Longhorn将有反Rootkit的功能吗?

　　Dillard:很遗憾，对我来说，现在就对微软的与恶意软件作斗争的计划提出推测有点为时过早了。