使用RootkitRevealer 1.71_RootkitRevealer 1.71下载地址

先进的根工具包检测工具

RootkitRevealer是一种先进的根工具包检测工具。它可以运行在Windows NT 4和更高版本，它的输出列出注册表和文件系统API的差异，可能预示着存在的用户模式或内核模式的rootkit。

使用RootkitRevealer可以成功地检测所有的神器出山:www.shenqi73.com持久的rootkit发表在www.rootkit.com，包括的Vanquish，AFX和HackerDefender的的（注：不打算使用RootkitRevealer检测rootkit一样富，不要试图隐藏自己的文件或注册表项）。

长期的rootkit是用来描述的机制和技术手段恶意软件，包括病毒，间谍软件和木马，间谍软件拦截，防病毒和系统管理工具，试图隐藏他们的存在。根据恶意软件的生存是否重新启动，以及是否在用户模式或内核模式执行的rootkit的分类有几种。

持续的Rootkits
一个持久的rootkit是一个与恶意软件的激活在每次系统启动。因为这种恶意软件包含的代码必须执行自动每次系统启动或用户登录时，他们必须存储在持久性存储的代码，如注册表或文件系统，并配置方法，通过它的代码执行，而无需用户干预。

基于内存的rootkit
基于内存的rootkit恶意软件，没有持久化代码，因此不下去了重新启动。

用户模式的rootkit
有很多的Rootkit试图逃避检测的方法。例如，一个用户模式的rootkit可能会拦截所有来电到Windows FindFirstFile / FindNextFile原料药的，所使用的文件系统的勘探工具，包括资源管理器和命令提示符的文件系统目录中列举的内容。当应用程序执行，否则将返回结果，确定文件的rootkit，该rootkit的拦截和修改输出删除的条目包含一个目录列表。

Windows自带的API作为用户模式用户模式和内核模式的服务和更复杂的用户模式的rootkit拦截文件系统，注册表，进程枚举功能的原生API之间的接口。这可以防止扫描仪检测，比较的结果返回了一个原生API枚举的Windows API枚举。

内核模式的rootkit
内核模式的rootkit可以更强大，因为他们不仅可以拦截的原生API在内核模式下，但他们也可以直接操纵内核模式的数据结构。隐藏的存在恶意软件过程的一种常用方法是从内核的活动进程的列表中移除该程序。由于流程管理API依赖于列表中的内容，恶意软件程序将不会显示在进程管理工具，如任务管理器或Process Explorer中。