作为一种软件，rootkit可以连接并进入计算机的同时，向用户和管理员隐藏它存在的迹象。尽管rootkit本身可能是无害的，但隐藏的软件或进程却几乎都是存在问题的。和病毒不同，rootkit可以获得计算机的管理权限。Rootkit就是病毒中的万人迷，可以带来最严重的损害和威胁。处理rootkit时遇到的最大问题就是，一旦系统被入侵，就很难防范检测和清除，因为它们的主要目的就是制造混乱。

　　但是，这并不意味着你一定要被rootkit摆布。你可以制定防范措施，在它们出现的时间予以阻止。更妙的是，你可以在出现的第一个地方将它们清除。

　　1、对系统进行保护

　　你并不需要随时关注所有事情。当然，这也不意味着你需要放弃保护措施。在安装新Linux系统时，首先要做的就是安装rkhunter。它是一个非常有效的rootkit防御工具。如果你使用的不是Linux操作系统，就需要选择AVG anti rootkit或ComboFix之类工具来完成相关任务。　

　　2、关注各种细微的迹象

　　尽管rootkit不会主动暴露出可以让你发现的微小痕迹，但总是有办法做到这一点的。如果接收到来自不同对象的通知，宣称你正在发送大量垃圾邮件的话，就很可能存在一个隐藏的rootkit，让系统成为僵尸网络的组成部分。如果你的服务器属于网络服务器，在发现奇怪的重定向操作时间，就可能已经中毒了。对于UNIX和类UNIX系统，可以查看可执行文件的版本或者目录结构的变化情况。如果你使用来说来说ls/usr/bin或ls/usr/sbin命令进行查看时，发现正常应用似乎出现命名错误的话，就很有可能是受到rootkit的攻击。当然，最简单的检测方法就是定期运行rkhunter。

　　3、清除它

　　如果发现系统已经被感染的话，那首先要做的就是关闭这台机器！然后，移出驱动器，安装在另一台机器（最好是非Windows系统）上，并将数据拷贝出来。这是因为存在重新安装操作系统的可能，所以，要确保数据不受到影响。而且，启动和运行受到感染的系统，只会带来更大的损害，尤其是在垃圾邮件机器人或类似软件运行的情况下。

　　4、千万不要忘记Tripwire

　　数据完整性监控工具Tripwire可以用来对给定的配置系统／目录里的文件变化进行监控。而rootkit的一项主要工作就是掩饰恶意软件的存在。通常情况下，它们会采用重命名文件或文件夹或安装类似名称的文件／文件夹的方式。使用诸如Tripwire之类的工具，你可以马上发现这种行为。在这里至关重要的是，在安装完操作系统后，你应该马上安装Tripwire。否则的话，rootkit可能已经安装到系统里了，Tripwire的实际效果就会大受影响。

　　5、进行内存转存处理

　　这是一种更具挑战性的方法，它是可以使用私有工具或代码的专家最喜欢的选择。你可以对可能或确认受到感染的内核（甚至全部）内存进行强制转存，以捕捉rootkit可能进行的任何活动。内存转存操作的结果可以用调试工具来进行分析。在分析过程中，rootkit不能混淆其工作，并会被检测出来。当然，这样的话，你将不得不清除数据并重新安装。

　　坚持预防为主

　　Rootkit带来的危害是非常严重的。因此，最好的办法是安装安全工具，防止系统被感染。而rootkit最大的问题是，它们造成的危害需要你清除数据和重新安装系统。所以，我们必须积极行动起来，采取一些办法来进行预防。

 　　原文出处：http://security.zdnet.com.cn/security_zone/2010/1115/1940133.shtml