进行Rootkit风险评估的最好方法

      问：进行风险评估的最佳方式是什么？特别是针对Rootkit？

　　答：Rootkit是很多想要访问受害者系统的攻击者选择的工具。有了这种恶意软件，攻击者可以在受害者的计算机上安装恶意代码，而用户很难检测到这种方式。

　　目前，有很多种Rootkit，可以在任何操作系统上使用。研究人员已经发现了一些有商业用途的Rootkit，他们是为用户设计的，为了以极小的代价逃避很多杀毒厂商。

　　当处理Rootkit和恶意代码的时候，很多安全专家都关注工具和技术。虽然这一点很重要，但是它还没有和开发安全团队的处理Rootkit能力更重要。

　　当我为了证书和鉴定合格而努力的时候，我希望设置一种情况，在这种情况下我可以在一个系统上安装Rootkit并要求安全团队识别并移除它。我系统查看安全团队处理现场的情况，而不是依赖存储的程序或者定期更新杀毒程序的证明。

　　至于技术，我喜欢F-Secure Corp。的BackLight工具RootkitRevealer，以及免费的IceSword。在处理Rootkit的时候，存在第二个（或者可能甚至市第三个）选择非常明智，因为rootkit在不断进化，可以绕过Rootkit检测技术。