什么是检测(最好是免费或者便宜)的最佳方法，然后在必要时删除计算机上找到的rootkit？

解决方案

SysInternals的Rootkit揭示程序

SysInternals几年前停止更新RootKit Revealer。

检测rootkit的唯一可靠方法是对已知文件及其参数的受信任列表进行已安装文件和文件系统元数据的脱机比较。显然，我们需要信任运行比较的计算机。

在大多数情况下，对于大多数人来说，使用启动cdrom运行病毒扫描程序可以解决问题。

否则，我们可以重新安装任何内容，从cdrom启动，连接外部驱动器，运行perl脚本以查找和收集参数(大小，md5，sha1)，然后存储参数。

要进行检查，请运行perl脚本以查找和收集参数，然后将其与存储的参数进行比较。

另外，在系统更新后，我们还需要一个perl脚本来更新我们存储的参数。

• 编辑-
  更新此内容以反映可用技术。如果我们获得任何可启动的救援CD(例如trinity或者rescuecd)的副本，并带有程序" chntpasswd"的最新副本，则可以脱机浏览和编辑Windows注册表。

加上Castlecops.com的启动列表副本，我们应该能够找到最常用的rootkit的最常用运行点。并始终跟踪驱动程序文件以及合适的版本。

在这种级别的控制下，我们最大的问题将是在删除rootkit和木马程序后将注册表遗留在意大利面条中的混乱情况。通常。

-编辑 -
还有Windows工具。但是我描述了我所熟悉的工具，这些工具是免费的，并且文档记录得更好。

请记住，我们永远不能信任受损的计算机。我们可能以为我们发现了Rootkit的所有迹象，但攻击者可能在其他地方创建了后门。我们使用的工具的非标准后门将无法检测到。通常，我们应该从头开始重新安装受感染的计算机。