輕松擊碎ＲｏｏｔＫｉｔ的隱身重甲

RootKit后門程序(例如“黑客守護者”)利用了操作系統的模塊化技術，將自身作為系統內核的一部分來運行。和普通的木馬后門相比，具有強大的功能和隱蔽性。從RootKit的運行特點說，它可以隱藏進程信息、用戶信息、系統服務、注冊表主鍵和鍵值，還能開啟遠程Shell，截取鍵盤輸入信息，查看和結束進程，重啟系統。面對幾乎堪稱完美的RootKit后門，難道我們就真的束手無策了嗎?

利用Sophos Anti-Rootkit這款小巧的安全軟件，就可以清除隱藏在系統中的各種RootKit后門程序。

Sophos Anti-Rootkit可以對隱藏在系統進程、注冊表、硬盤中的RootKit程序進行全面掃描，只需在主窗口中勾選“Running processes(運行進程)”、“Windowsregistry(系統注冊表)”、“Local hard drives(本地硬盤)”等項，點擊“Start scan”按鈕，即可對RootKit程序的上述藏身處進行徹底檢測，在彈出的窗口中顯示掃描的進度，在其中的文件列表中會顯示檢測到的RootKit程序。

在“Description(描述)”列中顯示RootKIt程序的名稱，在“Location(位置)”列中顯示對應的文件路徑。從列表選中某個RootKit程序，在屬性欄中可以列出其詳細信息。在其中的第四行(即文件標志欄)中顯示如果為“Removable:No”，表示該RootKit程序不可以隨意清除，如果顯示為“Removable:Yes(cleanup recommanded)”，表示可以清除，如果顯示為“Removable:Yes(but clean up not recommandedfor this file)”，表示雖然可以清除，但是Sophos Anti-Rootkit不建議用戶這樣做。之所以有些RootKit不能隨意清除，是因為Sophos Anti-RootKit考慮到這可能影響到系統的穩定性。接下來你可以選中需要清除的RootKit程序，點擊“C1eanupchecked items”按鈕，在彈出的對話框中點擊“Yes”按鈕，SophosAnti-Rootkit即可清除所有選定的RootKit程序，然后在彈出的對話框中點擊“Restartnow”按鈕，重新啟動電腦即可完成清理工作。

防止外患從強化注冊表開始 清風明月

對于注冊表這種敏感地帶，只靠掃描對比的方式保護是不夠的，必須采取主動措施。所謂注冊表主動保護，是指直接采取攔截技術，所有對注冊表寫入的操作都必須先經過檢查，如果某一個操作觸及到了注冊表的“敏感”部位，就會主動“詢問”。如果你的殺毒軟件不具備這種功能，可以考慮選用GhostSecuritySuite。

Ghost Security Suite是一款功能非常專一的注冊表防火墻，它是一個基于內核的注冊表保護系統，占用資源很低。安裝以后會保護注冊表的自啟動項目和其他很多重要的鍵值，并且可以自定義被保護的項目。

開啟注冊表的保護：點擊Ghost Security Suite界面右側的“Secutiry組件”區域內的下拉列表按鈕，將“”更改為“RDStandard”即可。這樣病毒、木馬試圖闖入注冊表中“生根發芽”時，Ghost SecuritySuite就會將它們拒之門外。

設定規則：點擊“Secutiry組件”區域內的“配置”按鈕，進入到“配置”對話框中。Ghost SecuritySuite的規則分為“全局規則”和“應用程序規則”兩大類。“全局規則”是對所有的程序均有效，而“應用程序規則”僅對設定的程序有效。Ghost Security Suite的規則非常豐富，從啟動運行到網絡瀏覽樣樣不少，這樣可以對常見的惡意修改進行徹底防御。

程序設置：單擊“設置”按鈕進入“設置”對話框中，勾選“Windows啟動時自動啟動”復選框，這樣系統只要一啟動，Ghost Security Suite就會自動運行了。當然在這里，我們還可以對Ghost Security Suite進行顏色、更新設置。

要提醒大家的是，有些時候我們需要安裝一些涉及到系統深層次的程序，如驅動程序、殺毒軟件、病毒防火墻等等，這時Ghost Security Suite也會加以阻止，在此建議大家在安裝自己熟悉的程序時，可先將Ghost SecuritySuite暫時關閉。