一個流行的基於行為的 Rootkit 檢查程式,Rootkit 之所以特殊是因為您不知道它們在做什麼事情。Rootkit 基本上是無法檢測到的,而且幾乎不可能刪除它們。雖然檢測工具在不斷增多,但是惡意軟體的開發者也在不斷尋找新的途徑來掩蓋他們的蹤跡。
Rootkit基本是由幾個獨立程式組成,一個典型rootkit包括: 乙太網嗅探器程式,用於獲得網路上傳輸的用戶名和密碼等信息。 特洛伊木馬程式,為攻擊者提供後門。 隱藏攻擊者目錄和進程的程式。還包括一些日誌清理工具,攻擊者用其刪除wtmp、utmp和lastlog等日誌檔案中有關自己行蹤的條目。 複雜的rootkit還可以向攻擊者提供telnet、shell和finger等服務。還包括一些用來清理/var/log和/var/adm目錄中其它檔案的腳本。
目前已經有很多針對Rootkit的專殺工具
卡巴斯基中的rootkit掃描就是其中之一