RootKit后门程序(例如“黑客守护者”)利用了操作系统的模块化技术，将自身作为系统内核的一部分来运行。和普通的木马后门相比，具有强大的功能和隐蔽性。从RootKit的运行特点说，它可以隐藏进程信息、用户信息、系统服务、注册表主键和键值，还能开启远程Shell，截取键盘输入信息，查看和结束进程，重启系统。面对几乎堪称完美的RootKit后门，难道我们就真的束手无策了吗?
　　利用Sophos Anti-Rootkit这款小巧的安全软件，就可以清除隐藏在系统中的各种RootKit后门程序。
　　Sophos Anti-Rootkit可以对隐藏在系统进程、注册表、硬盘中的RootKit程序进行全面扫描，只需在主窗口中勾选“Running processes(运行进程)”、“Windowsregistry(系统注册表)”、“Local hard drives(本地硬盘)”等项，点击“Start scan”按钮，即可对RootKit程序的上述藏身处进行彻底检测，在弹出的窗口中显示扫描的进度，在其中的文件列表中会显示检测到的RootKit程序。
　　在“Description(描述)”列中显示RootKIt程序的名称，在“Location(位置)”列中显示对应的文件路径。从列表选中某个RootKit程序，在属性栏中可以列出其详细信息。在其中的第四行(即文件标志栏)中显示如果为“Removable:No”，表示该RootKit程序不可以随意清除，如果显示为“Removable:Yes(cleanup recommanded)”，表示可以清除，如果显示为“Removable:Yes(but clean up not recommandedfor this file)”，表示虽然可以清除，但是Sophos Anti-Rootkit不建议用户这样做。之所以有些RootKit不能随意清除，是因为Sophos Anti-RootKit考虑到这可能影响到系统的稳定性。接下来你可以选中需要清除的RootKit程序，点击“C1eanupchecked items”按钮，在弹出的对话框中点击“Yes”按钮，SophosAnti-Rootkit即可清除所有选定的RootKit程序，然后在弹出的对话框中点击“Restartnow”按钮，重新启动电脑即可完成清理工作。
　　
　　防止外患从强化注册表开始　清风明月
　　
　　对于注册表这种敏感地带，只靠扫描对比的方式保护是不够的，必须采取主动措施。所谓注册表主动保护，是指直接采取拦截技术，所有对注册表写入的操作都必须先经过检查，如果某一个操作触及到了注册表的“敏感”部位，就会主动“询问”。如果你的杀毒软件不具备这种功能，可以考虑选用GhostSecuritySuite。
　　Ghost Security Suite是一款功能非常专一的注册表防火墙，它是一个基于内核的注册表保护系统，占用资源很低。安装以后会保护注册表的自启动项目和其他很多重要的键值，并且可以自定义被保护的项目。
　　开启注册表的保护：点击Ghost Security Suite界面右侧的“Secutiry组件”区域内的下拉列表按钮，将“”更改为“RDStandard”即可。这样病毒、木马试图闯入注册表中“生根发芽”时，Ghost SecuritySuite就会将它们拒之门外。
　　设定规则：点击“Secutiry组件”区域内的“配置”按钮，进入到“配置”对话框中。Ghost SecuritySuite的规则分为“全局规则”和“应用程序规则”两大类。“全局规则”是对所有的程序均有效，而“应用程序规则”仅对设定的程序有效。Ghost Security Suite的规则非常丰富，从启动运行到网络浏览样样不少，这样可以对常见的恶意修改进行彻底防御。
　　程序设置：单击“设置”按钮进入“设置”对话框中，勾选“Windows启动时自动启动”复选框，这样系统只要一启动，Ghost Security Suite就会自动运行了。当然在这里，我们还可以对Ghost Security Suite进行颜色、更新设置。
　　要提醒大家的是，有些时候我们需要安装一些涉及到系统深层次的程序，如驱动程序、杀毒软件、病毒防火墙等等，这时Ghost Security Suite也会加以阻止，在此建议大家在安装自己熟悉的程序时，可先将Ghost SecuritySuite暂时关闭。