rootkit基本是由几个独立程序组成，一个典型rootkit包括： 以太网嗅探器程程序，用于获得网络上传输的用户名和密码等信息。 特洛伊木马程序，为攻击者提供后门。 隐藏攻击者目录和进程的程序。还包括一些日志清理工具，攻击者用其删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。 复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。还包括一些用来清理/var/log和/var/adm目录中其它文件的脚本。

　　最近最让it管理员头痛的是什么呢？--毫无疑问是rootkit。这种可恶的程序是一批工具集，黑客用它来掩饰对计算机网络的入侵并获得管理员访问权限。一旦黑客获得管理员访问权限，就会利用已知的漏洞或者破解密码来安装rootkit。然后rootkit会收集网络上的用户id和密码，这样黑客就具有高级访问权限了。

　　rootkit还有监控网络数据和按键的功能；为黑客在系统上开“后门”；修改日志文件；攻击网络上的其他计算机；修改系统上已有的工具防止被检测出来。 那么如何发现rootkit呢？看看三位windows安全专家对用户的rootkit问题提供了什么解决方案吧。

　　用户的问题：我是一家大型非营利机构的it管理员。由于我们缺乏资金和人手，我们的许多用户需要用管理员访问权限来完成工作。最近，越来越多的用户抱怨他们的管理员应用程序崩溃了。他们的一些管理软件不再工作，例如，一些系统上的抗病毒软件神秘的失效了。有的在试图使用应用程序时蓝屏死机，有的计算机莫名其妙地重启或发送错误信息。用普通的间谍软件和特洛伊木马扫描工具没有发现任何问题。是什么在捣鬼？我们需要重装所有出现问题的计算机吗？

　　专家教你清除rootkit之诊断：

　　kurt dillard：缺少细节，但是，有一些关键的信息。以前一直很可靠的各种计算机系统频繁出现操作系统崩溃的问题意味着受到感染的计算机中的某些东西被改变了。另一个重要的线索是杀毒软件自动关闭自己。最后一个线索是，标准的安全工具不能发现任何恶意软件表明如果这些计算机中有新的软件，这种软件正在偷偷地运行。这种文件隐藏起来了看不到，但是，仍在运行。如果惟一奇怪的事情是数不清的系统崩溃，我会怀疑操作系统最新使用的补丁、设备驱动程序或者一个安全应用程序有问题。这些症候结合在一起暗示某些恶意的东西在起作用。然而，它也许不是一个rootkit。你必须要做额外的研究以便发现正在发生的是什么。

　　lawrence abrams：当你的计算机开始出现异常情况时，我想到的第一件事情就是你的计算机被间谍软件、病毒、特洛伊木马、蠕虫或者其它形式的恶意软件感染了。如果在你使用杀毒软件和/或者反间谍软件进行扫描之后继续存在这个问题，那么，这个时候就该使用某些工具进行深入的分析了。需要检查的是计算机的启动程序，看看是否存在当前杀毒软件定义中没有的新的恶意软件。某些检测故障的软件程序是:

　　hijackthis：这是一种通用的主页劫持者检测和清除工具，能够连续不断地更新。

　　winpfind：这个工具软件可以扫描硬盘中的普通位置，查找与已知的恶意软件使用的方式相匹配的文件。

　　silent runners：这个软件工具检查windows是如何启动的并且创建一个文本文件以便进行研究或者作为一个基准储存起来。如果没有检测到任何东西，设法用安全模式运行这个程序和你的杀毒/反间谍软件。很多与蠕虫一起发布的普通的rootkit在安全模式不能够运行。因此，故障排查软件在安全模式下可以看到这些恶意软件。

　　如果在安全模式下发现新的记录和文件，计算机很可能受到了在windows正式模式下看不到的普通rootkit的感染。另一方面，如果你在安全模式下运行同一个工具软件之后仍没有发现任何可疑的现象，但是这个恶意软件的行为继续存在，你可以推测你正在应付一个更高级的rootkit。