问：只能在安全模式下移除的恶意软件，在XP正常模式下运行定期每日杀毒扫描的时候要注意什么？

　　答：主要的是检测。记住，警觉是最强大的安全工具。我认为这个问题和几年前争论的IDS/IPS是同一类型。在2003年中期，Gartner Inc.发布了一份报告，称入侵检测技术已经不流行了。虽然报告中的观点是正确的（例如，IDS不能阻止任何事情）但是报告没有考虑到这种技术的警觉性的一方面。
 
　　尽管如此，这个问题必须从两个方面回答：检测和移除。

　　对于检测来说，在企业环境中定期运行杀毒软件是很好的选择，但是它不是识别恶意软件的唯一方法。定期查看IDS日志中的网络层面的攻击。最后，安全部门应该开始进行新的定期活动，网络的出口和入口可以在特定的时间内捕获全面的信息包。对于有大量网络使用的大型网络，这不用很长时间。在捕获了流量后，安全部门应该识别不同的网络连接并检查连接是否有效。

　　目的是在环境中找到出现错误的多个检测点。这包括在正常模式的系统中运行的杀毒软件。对于这个问题，我想要强调有些核心层面的rootkit可以运行核心以隐藏行踪。
 
　　现在说说移除，有些版本的恶意软件，例如Sality，移除可以允许安全模式的注册密钥。所以安全模式不总是安全的。对于有些病毒或蠕虫，进入Helix等Linux环境是最好的选择，因为Windows操作系统已经不可信了。最后，在正常模式中运行杀毒软件可以移除大量恶意软件，所以它对企业仍然有价值。

　　拥有安全部门已经接受了培训的多个选择是最好的。攻击者当然也非常灵活。