最近因為公司的一個比賽，又接觸到了 Rootkit tool，

發現 Rootkit tool 雖然常被病毒拿來做壞事，

但其實好人也是可以拿它來做有用的事情的～

 

舉例來說，假設有人在你的電腦裡種了個惡意的服務 (service) ，

然後設定成不能停止、也沒辦法砍掉，

這時以正規的作法自然是沒救了，

但我們可以拿 rootkit tool 來把它強制移掉～

 

1. 下載 rootkit 工具 GMER

這邊我用的是 GMER，可以到 GMER 的網頁，

點下 Download EXE 這個按鈕，就會下載一個奇怪名稱的執行檔～

它名稱會很怪的原因是避免被防毒軟體直接偵測到，就擋住不讓你下載了～

 

2. 執行 GMER

執行之後，可以看到好幾個 tab，

可以在 Processes 頁面看到目前在執行的所有程式，

找到原本在工作管理員砍不掉的程式，按下 Kill process 就可以砍掉了～

 

在 Services 頁面可以修改 service 的啟動方式，

不過如果 service 已經被設定成不能修改的話，這個動作可能會失敗…

但不管如何，都還是可以用 Delete 強制砍掉 service：

 

在 Files 這邊可以強制砍掉被保護的檔案，

或是也可以複製檔案去蓋掉被保護的檔案：

 

在 Registry 這邊找到要修改的登錄值之後，

按右鍵 > Modify 就可以修改囉：

 

 

GMER 算是一個蠻方便的 rootkit 工具，

好好善用的話，惡人手中的槍也可以變成我們去除障礙的好幫手喔～^^