作为一种软件，Rootkit可以在连接并进入计算机的同时，向用户和管理员隐藏它存在的迹象。尽管Rootkit本身可能是无害的，但隐藏的软件或进程却几乎都是存在问题的。和病毒不同，Rootkit可以获得计算机的管理权限。Rootkit就是病毒中的万人迷，可以带来最严重的损害和威胁。处理Rootkit时遇到的最大问题就是，一旦系统被入侵，就很难防范、检测和清除，因为它们的主要目的就是制造混乱。
　　但是，这并不意味着你一定要被Rootkit摆布。你可以制定防范措施，在它们出现的时候予以阻止。更妙的是，你可以在出现的第一个地方将它们清除。
　　
　　1　对系统进行保护
　　
　　你并不需要随时关注所有事情。当然，这也不意味着你需要放弃保护措施。在安装新Linux系统时，首先要做的就是安装rkhunter。它是一个非常有效的Rootkit防御工具。如果你使用的不是Linux操作系统，就需要选择AVG Anti Rootkit或ComboFix之类工具来完成相关任务。
　　
　　2　关注各种细微的迹象
　　
　　尽管Rootkit不会主动暴露出可以让你发现的微小痕迹，但总是有办法发现的。如果接收到来自不同对象的通知，宣称你正在发送大量垃圾邮件的话，就很可能存在一个隐藏的Rootkit，让系统成为僵尸网络的组成部分。如果你的服务器属于网络服务器，在发现奇怪的重定向操作时，就可能已经中毒了。对于UNIX和类UNIX系统，可以查看可执行文件的版本或者目录结构的变化情况。如果你使用Is／usr/bin或Is／usr／sbin命令进行查看时。发现正常应用程序似乎出现命名错误的话，就很有可能是受到Rootkit的攻击。当然，最简单的检测方法就是定期运行rkhunter。
　　
　　3　清除它
　　
　　如果发现系统已经被感染的话，那首先要做的就是关闭这台机器!然后，移出驱动器，安装在另一台机器(最好是非Windows系统)上，并将数据拷贝出来。这是因为存在重新安装操作系统的可能，所以，要确保数据不受到影响。而且，启动和运行受到感染的系统，只会带来更大的损害，尤其是在垃圾邮件机器人或类似软件运行的情况下。
　　
　　4　千万不要忘记Tripwire
　　
　　数据完整性监控工具Tripwire可以用来对给定的配置系统／目录里的文件变化进行监控。而Rootkit的一项主要工作就是掩饰恶意软件的存在，通常情况下，它们会采用重命名文件或文件夹或安装类似名称的文件／文件夹的方式。使用诸如Tripwire之类的工具，你可以马上发现这种行为。在这里至关重要的是。在安装完操作系统后，你应该马上安装Tripwire。否则的话，Rootkit可能已经安装到系统里了，Tripwire的实际效果就会大受影响。
　　
　　5　进行内存转存处理
　　
　　这是一种更具挑战性的方法，它是可以使用私有工具或代码的专家最喜欢的选择。你可以对可能或确认受到感染的内核(甚至全部)内存进行强制转存。以捕捉Rootkit可能进行的任何活动。内存转存操作的结果可以用调试工具来进行分析。在分析过程中，Rootkit不能混淆其工作，否则会被检测出来。当然，这样的话，你将不得不清除数据并重新安装。
　　
　　6　坚持预防为主
　　
　　Rootkit带来的危害是非常严重的。因此，最好的办法是安装安全工具，防止系统被感染。而Rootkit最大的问题是，它们造成的危害需要你清除数据和重新安装系统。所以。我们必须积极行动起来，采取一些办法来进行预防。