由於懷疑近期電腦是否中了RootKit,於是從華軍軟件園上下載了一些號稱能夠查解RootKit的軟件。一一嘗試后,有了此文。
它們依次是:
- RootkitRevealer
- DarkSpy
- Hook Analyzer,
- Rootkit Detective
- RootkitBuster
- Sophos Anti-Rootkit 1.3
- Panda Anti-Rootkit 1.07.00
1. 不論是否設置兼容性,都無法運行。見圖1。
2 直接了當地就告訴你,是因爲同VIsta兼容而不能運行。至於你是否爲此去設置兼容性,結果都一樣。
也許你會聽從微軟的建議,去找聯機解決方案,找到的卻是: 等於沒說一樣。
3 安裝后,可以運行,界面如下:
紅色的都是Hook的服務,不過找到的都是防火墻的模塊,應該不算吧?
4 從這裡開始,程序的開發者就都是老牌殺毒軟件廠商了。所以,一看界面就脫胎于各自本家。呵呵:-)
剛開始時上面的各選項按鈕全是灰色,只要點擊"SCAN",哪怕立刻就"STOP",這些按鈕就都能使用了。它在找到"Hooked Service"方面,同3找到的一樣。
5 運行后會在當前文件夾新建一個目錄:"TMRBLog",裏面以"TMRB+5位數字"為名字,(例如TMRB00001.TXT)來告訴用戶:找到了C盤多少隱含文件、註冊表中多少個隱含註冊鍵值、多少個隱含進程、多少個隱含驅動器。
它告訴我這四項全部是0。我該就此放心了嗎?
6 直接用是不行的:
把兼容性改成 XP 后可以出現界面:
VISTA的兼容性看來還是沒有做到家呀,錯誤消息框依然報告出來:
嗚呼,它在我的註冊表中找到了5個隱含註冊鍵!
是這次檢查中唯一查出俺有隱含註冊鍵的軟件!厲害啊!!
7 不運行兼容性以前,拒絕為俺工作:
好好"哄"一下(兼容成XP),"芳容"出來了:
就像跳舞一樣,她告訴你是跳"慢三步":
第一步:
第二步:
它怎麼把Win2003 SDK SP1 的可執行文件,全部都當成 Rootkit 呢?查看明細時方得知,原來這些文件都設置了隱含屬性,但是文件的隱含屬性就等於是Rootkit嗎?
第三步:省略。既然第二步是誤報,那麽也就沒有必要發展到第三步了。
總結:
軟件1、2 是死活不能在VISTA上運行的,兼容性拿它也沒轍。(對於軟件1,其實我強行運行了一次,但是以死機告終,所以無法截圖)
軟件3要安裝,是唯一需要安裝的軟件。也能找到一些信息。
軟件4~7是殺毒軟件的免費產品。