它們，在 VISTA 下的表現

由於懷疑近期電腦是否中了RootKit，於是從華軍軟件園上下載了一些號稱能夠查解RootKit的軟件。一一嘗試后，有了此文。

它們依次是：

1. RootkitRevealer
2. DarkSpy
3. Hook Analyzer，
4. Rootkit Detective
5. RootkitBuster
6. Sophos Anti-Rootkit 1.3
7. Panda Anti-Rootkit 1.07.00

1. 不論是否設置兼容性，都無法運行。見圖1。

2 直接了當地就告訴你，是因爲同VIsta兼容而不能運行。至於你是否爲此去設置兼容性，結果都一樣。

也許你會聽從微軟的建議，去找聯機解決方案，找到的卻是：
　　等於沒說一樣。

3 安裝后，可以運行，界面如下：

紅色的都是Hook的服務，不過找到的都是防火墻的模塊，應該不算吧？

4 從這裡開始，程序的開發者就都是老牌殺毒軟件廠商了。所以，一看界面就脫胎于各自本家。呵呵：-）

　

剛開始時上面的各選項按鈕全是灰色，只要點擊"ＳＣＡＮ"，哪怕立刻就"ＳＴＯＰ"，這些按鈕就都能使用了。它在找到"Hooked Service"方面，同３找到的一樣。

5 運行后會在當前文件夾新建一個目錄："TMRBLog"，裏面以"TMRB+5位數字"為名字，（例如TMRB00001.TXT）來告訴用戶：找到了C盤多少隱含文件、註冊表中多少個隱含註冊鍵值、多少個隱含進程、多少個隱含驅動器。

它告訴我這四項全部是0。我該就此放心了嗎？

6 直接用是不行的：

把兼容性改成 XP 后可以出現界面：

VISTA的兼容性看來還是沒有做到家呀，錯誤消息框依然報告出來：

嗚呼，它在我的註冊表中找到了5個隱含註冊鍵！

是這次檢查中唯一查出俺有隱含註冊鍵的軟件！厲害啊！！

7 不運行兼容性以前，拒絕為俺工作：

好好"哄"一下（兼容成XP），"芳容"出來了：

就像跳舞一樣，她告訴你是跳"慢三步"：

第一步：

第二步：

它怎麼把Win2003 SDK SP1 的可執行文件，全部都當成 Rootkit 呢？查看明細時方得知，原來這些文件都設置了隱含屬性，但是文件的隱含屬性就等於是Rootkit嗎？

第三步：省略。既然第二步是誤報，那麽也就沒有必要發展到第三步了。

總結：

軟件1、2　是死活不能在VISTA上運行的，兼容性拿它也沒轍。（對於軟件１，其實我強行運行了一次，但是以死機告終，所以無法截圖）

軟件３要安裝，是唯一需要安裝的軟件。也能找到一些信息。

軟件４～７是殺毒軟件的免費產品。

Technorati : RootKit, Vista