最好的免费rootkit移除，检测和扫描仪程序

什么是Rootkit恶意软件?

Rootkit是一种特别讨厌的恶意软件，其行为不像典型的病毒。 Rootkit将自己插入操作系统的核心。通常在内核级别或以下。这使得它们极难检测，有时无法去除。特定的防病毒程序专门用于检测和删除rootkit。下面我们列出了五个最佳的反rootkit程序.

Rootkit为什么如此邪恶的一些背景

在一天的运行中，您可能会在计算机上使用许多不同的程序。不同类别的程序需要不同的权限才能完成其工作。操作系统的核心（内核）需要对计算机中的每个硬件和软件都拥有绝对的控制权才能完成其工作。另一方面，人类直接与之交互的应用程序（例如文字处理器和Web浏览器）只需很少的控制即可完成工作。从概念上讲，在保护环模型中说明了这些不同级别的控制，其中功能强大的内核驻留在零环上，外圈中仅是人类的应用。 Rootkit通常会自行安装到零环中，从而继承可能的最高访问级别.

之所以这样称呼Rootkit，是因为第一个Rootkit针对的是类似Unix的操作系统。这些系统上最特权的用户称为root，因此，rootkit是提供对系统的root访问的应用程序。无论操作系统如何，该名称都会卡住，即使系统上没有这样的root用户，今天的Windows Rootkit也使用该名称。.

尽管存在一些有益的或至少是良性的rootkit的示例，但它们通常被认为是恶意的。安装后，rootkit可以更改操作系统的几乎每个方面，并且还可以完全隐藏大多数防病毒程序的存在。内核rootkit极难检测，有时，确保计算机干净的唯一方法是完全重新安装操作系统。重新安装仍然无法抵御甚至更邪恶的固件rootkit，这些固件rootkit可以存在于系统BIOS中并在重新安装操作系统后仍然有效.

Rootkit类型

内核rootkit

内核rootkit在零环上运行，并被注入内核。实际上，这意味着适用于Linux，macOS和其他类似Unix的操作系统的内核模块，以及适用于Windows系统的动态链接库（DLL）。它们以与内核本身相同的级别和安全状态运行，这使得它们几乎不可能被检测到或如果被检测到则将其删除。.

用户空间rootkit

您在一天中使用的程序所访问的操作系统部分统称为用户空间或用户土地。这些术语仅表示那些内存和文件区域没有特权，应用程序可以在没有高级别权限的情况下访问这些内容.

根据定义，在用户空间中运行的rootkit没有内核访问权限，因此在避免检测方面处于不利地位。用户空间rootkit通常针对特定的应用程序。当该应用程序运行时，rootkit会在用户空间内存中修补合法的应用程序并劫持其操作。这种类型的rootkit易于部署，但也易于检测，并且更容易因导致系统崩溃而放弃自身.

引导包

这些是可引导的rootkit。您计算机的操作系统是可启动的，否则计算机将无法启动。典型的rootkit在操作系统引导过程中加载自身。引导程序包不需要操作系统来执行此操作，因为该引导程序包可以自行引导所有程序，然后再加载操作系统.

引导程序包的共同目标是破坏内核模块上的数字签名验证之类的东西。这使攻击者能够在引导过程中隐式加载修改后的模块和文件，从而提供对计算机的访问权限.

固件rootkit

固件是指介于硬件和软件之间的术语。硬件是需要物理连接到计算机的东西，而软件仅仅是引入计算机的代码，例如文字处理器。固件是硬件，通常是某种芯片，可以将软件加载到其中。与仅向计算机添加代码的普通软件安装不同，更新固件软件通常涉及一次称为“刷新”的过程来替换芯片上的整个代码。.

通常在计算机BIOS或专用设备（例如路由器和手机）中可以看到这种rootkit。由于rootkit位于固件中，因此格式化计算机的硬盘驱动器并重新安装操作系统将无效，并且不会删除rootkit。.

Rootkit来自何处?

Rootkit通常是由恶意攻击者通过与任何恶意软件相同的通用媒介安装的。网络钓鱼仍然是诱骗用户安装rootkit的非常成功的方法。即使将提示用户授权安装rootkit，我们中的许多人仍然对这些不断出现的提示感到麻木，并将允许.

在极少数情况下，信誉良好的公司可能会在自己的软件中包含rootkit。在2005年一系列广为人知的可怕决定中，Sony BMG的CD中包含一个rootkit，以防止复制。由于Rootkit超出了其作为数字版权管理（DRM）工具的预期目的所包含的固有不安全性，因此导致了数百万美元的集体诉讼失败.

5个免费的rootkit移除，检测和扫描仪程序

有一些针对特定Rootkit的反Rookit程序，例如Kaspersky的TDSSKiller，但我们将处理更通用的Rootkit检测器。如果您处于已经感染了确定的Rootkit的令人羡慕的位置，则可能需要进行搜索以查看防病毒供应商是否具有针对该Rootkit的特定工具。.

chkrootkit（检查Rootkit）

优点： 可以在感染后运行
缺点： 不支援Windows.
支持的操作系统： Linux，FreeBSD，OpenBSD，NetBSD，Solaris，HP-UX，Tru64，BSDI和macOS

“ Check Rootkit”（chkrootkit）是已经存在很长时间的开源rootkit检测器。本文的当前版本于2023年5月发布，可以检测到69种不同的rootkit.

您需要经验丰富的系统管理员才能解密chkrootkit的输出。同样，chkrootkit与其名称一样，仅检查rootkit。它无法删除它们。它检查您的系统文件中是否存在rootkit的常见标志，例如：

最近删除的日志文件

日志文件是分析系统状况的绝佳工具。但是，由于rootkit具有修改任何系统文件的能力，这意味着它具有修改日志文件内容或完全删除日志的能力。 chkrootkit尝试检测记录登录的各种重要日志文件（例如wtmp和utmp）是否已被更改或最近被清除了.

网络接口状态

TCP / IP网络实质上是在Internet上传递数据包。在旅程的每个阶段，每个数据包都寻址到互联网协议（IP）地址或本地媒体访问控制（MAC）地址。互联网或其他网络上的路由器使用数据包的目标IP地址将其发送到正确的网络。数据包到达目标网络后，将使用MAC地址将其最终传递到正确的网卡或网络接口控制器（NIC）.

在正常操作期间，NIC将仅接受寻址到其自己的MAC地址或广播流量的数据包，并且将丢弃任何其他数据包。可以将网络接口设置为混杂模式，这意味着该网络接口将接受所有数据包，无论该数据包寻址到哪个NIC.

混杂模式通常仅在网络分析中用于执行数据包嗅探或其他类型的流量检查。对于NIC在日常操作中以这种方式进行操作是非常不寻常的。 chkrootkit将检测系统上是否有任何网卡以混杂模式运行.

可加载内核模块木马（LKM木马）

如本文前面所述，最难检测和清除的rootkit类型是内核模块rootkit。它们在零振铃的计算机最低级别上运行。这些rootkit具有与操作系统内核本身相同的高级权限。 chkrootkit具有检测这种类型的rootkit的能力.

rkhunter（Rootkit Hunter）

优点： 成熟产品
缺点： 必须在感染前安装
支持的操作系统： 类似Unix的操作系统，例如Linux

摘自rkhunter自述文件：“ Rootkit Hunter是基于主机的，被动的，事后的，基于路径的工具。”这是一个详尽的内容，但它告诉我们很多.

它的 基于主机 这意味着它旨在扫描安装在其上的主机，而不是扫描网络上其他位置的远程主机.

事后 表示它无济于事以加强系统免受rootkit感染。它只能检测是否发生了攻击或正在进行中.

rkhunter主要通过在重要文件中查找无法识别的更改来检测rootkit。在识别更改之前，它必须知道所有这些文件在清理后的外观。因此，至关重要的是，必须将rkhunter安装到干净的系统上，以便可以确定干净的基准以用于后续扫描。在已经受感染的系统上运行rkhunter的使用将受到限制，因为它无法完全了解干净系统的外观.

大多数防病毒程序在某种程度上都使用启发式方法，这意味着即使它们无法识别每种病毒，它们也会寻找看起来像病毒的事物。 rkhunter没有能力寻找类似rootkit的东西。它是 基于路径 意味着它只能寻找它已经知道的rootkit.

OSSEC

优点：具有大量用户群的成熟软件。感染后可以使用
缺点：针对高级用户；完整的主机入侵检测系统，而不仅仅是rootkit扫描程序
支持的操作系统：Linux，BSD，Solaris，macOS，AIX（代理），HP-UX（代理），Windows XP，2003服务器，Vista，2008服务器，2012服务器（代理）

OSSEC是一个主机入侵检测系统（HIDS），它是作为一个开源项目而建立的。它被Third Brigade，Inc.收购，然后被Trend Micro收购。 Trend是当前所有者，OSSEC仍然是免费/自由开源软件（FLOSS）.

基本体系结构是OSSEC管理器，安装在类似Unix的中央服务器上，然后与目标系统上的远程代理进行对话。正是这种代理体系结构允许OSSEC支持如此广泛的操作系统。此外，某些设备（例如路由器和防火墙）可以无代理方式使用，这意味着不需要在其上安装任何软件，因为它们固有地具有直接与OSSEC管理器对话的能力.

OSSEC的rootkit检测是整个系统中基于文件的分析和其他测试的混合。 OSSEC检查的一些事情是：

• 其他工具（例如netstat）未报告处于混杂模式的网络接口.
• 未报告使用中的端口，但OSSEC无法绑定到.
• 比较pid识别工具的输出与ps等系统级工具的输出.
• 检测可疑或隐藏文件.

GMER

优点：可以删除一些rootkit，而不仅仅是检测。感染后可以使用.
缺点：仅Windows
支持的操作系统：Windows XP / VISTA / 7/8/10

GMER是在Windows XP / VISTA / 7/8/10上运行的rootkit检测器和清除器。自2006年以来一直存在，当前版本支持64位Windows10。它是由一个名为PrzemysławGmerek的程序员创建的，它为我们提供了有关其名称起源的提示。.

与chkrootkit和rkhunter不同，GMER不仅可以检测rootkit，还可以删除其中的一些。 Avast集成了一个GMER版本！防病毒软件，可为病毒和Rootkit感染提供很好的全方位保护.

GMER不必对正在扫描的系统有任何特殊的了解。这意味着它可以是事件后扫描，即使在Rootkit感染之前不在系统上，也可以检测Rootkit。.

GMER不会比较文件或路径来检测rootkit，而是专注于以Windows为中心的工件，例如隐藏进程，隐藏服务和修改后的模块。它还会寻找钩子，这些钩子是恶意应用程序，它们将自身附加到合法进程上以隐藏其存在。.

开源Tripwire

缺点：需要安装并初始化感染前
优点：具有大量用户群的成熟产品
支持的操作系统：基于Linux的系统

开源Tripwire是基于主机的入侵检测系统（HIDS）。将此处的对比与网络入侵检测系统（NIDS）进行比较。 Tripwire扫描本地计算机的文件系统，并将其文件与一组已知的，良好的文件进行比较.

与rkhunter一样，Tripwire必须在可能的感染之前安装到干净的系统上。然后，它扫描文件系统，并创建有关该系统上文件的哈希或其他标识信息。随后，随后的Tripwire扫描便能够提取对这些文件的更改，并向系统管理员发出有关更改的警报.

Tripwire有两种版本； Tripwire，Inc.的商业产品和最初由Tripwire，Inc.在2000年提供的开源版本。商业版本提供了更广泛的产品，包括强化，报告和对非Linux操作系统的支持.

Tripwire本身不是rootkit检测器，但它可以检测影响和更改系统文件的rootkit活动。它没有删除rootkit的能力，甚至无法肯定地说出rootkit是否存在。熟练的管理员将必须解释扫描结果，以确定是否需要采取任何措施.

保护您的系统

请记住，rootkit是恶意软件。它确实是恶意软件，但仍然只是恶意软件。可以保护您的系统免受任何类型病毒侵害的最佳实践也将极大地保护您的系统免受rootkit的侵害：

• 确保用户拥有完成工作所需的最少权限
• 教育用户如何避免成为网络钓鱼的受害者
• 考虑禁用USB和CD驱动器，以避免人们将恶意软件带回家
• 确保防病毒软件正在所有系统上运行并且是最新的
• 使用防火墙阻止未经请求的流量进入或退出系统

除了这些常规步骤之外，rootkit保护还需要采取积极的态度。立即安装rootkit检测器，对其进行初始化，并至少每天（如果不是更频繁）运行一次。的确，如果系统感染了rootkit，则该系统很可能是垃圾，但更为恶毒的情况是，rootkit在您不知情的情况下在您的系统上生存了几个月或几年。 Rootkit可以静默地将您的宝贵数据发送到异地，而不会发生任何线索，直到您在晨报上了解到为止。如果您已经部署了Rootkit检测器，则很可能会收到警报，这会在实际可行的情况下尽快发生.

英文维基百科上的“特权戒指”

您可能还会喜欢AntivirusFake防病毒软件-它的用途，作用以及如何缓解威胁Antivirus是否足够使用免费的防病毒软件？Antivirus Windows恢复备忘单：系统还原，刷新，重置，重新启动和重新安装Antivirus适用于Android和Android的最佳免费和付费防病毒应用程序基于设备