RootkitRevealer号称检测Rootkit的一种很有效的工具。要躲避这类对付Rootkit的软件，必须拦截这类软件读取注册表配置单元数据或文件系统数据的操作，并更改这些数据的内容。这需要非常高深的技术，我不懂……不过我知道有两种方法可以防止RootkitRevealer的运行，而恶意软件要做到这两点将会非常的容易，不过也许会给自身带来点麻烦……

一、IFEO映像劫持：

在注册表这个位置HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options。在这个注册表项下面建立一个子项比如QQ.EXE，然后在子项QQ.EXE中新建一个字符串值：Debugger，值为：C:\\WINDOWS\\system32\\virus.exe。这个值可以随便写，如果virus.exe不存在运行QQ后，会出现“Windows找不到文件XXX”的错误；如果virus.exe存在运行QQ后，就会自动运行virus.exe文件，而QQ将运行失败。

然而QQ.EXE文件无法用重命名的方式来绕过这个IFEO劫持，因为QQ.EXE重命名后本身就无法使用！会出现这样的错误“QQ程序出错，请重新安装。”QQ应该解决这个问题！而卡巴之类的安全软件一般情况也无法直接重命名，估计是这类安全软件在内存驻留，你试图重命名、删除等操作就会被阻止！所以卡巴之类的安全软件正常情况下也不能通过重命名方式来绕过。

为什么重命名方式可以绕过IFEO劫持？因为在上面注册表项Image File Execution Options下创建要劫持的软件的项名是此软件的进程名，而一般软件的进程名即软件的名字。所以通过重命名的方法可以绕过IFEO劫持！故这种方法不能够有效阻止RootkitRevealer.exe的运行，RootkitRevealer.exe只要重命名即可绕过！

二、修改temp文件夹的权限：

这招很多人都会用，文件夹的权限配置很重要。然而这招也会被恶意程序利用，利用的目的就是阻止某些安全软件的启动！通过这招可以有效地组织RootkitRevealer的运行！

监视发现RootkitRevealer的运行机制：RootkitRevealer会在%temp%下生成名字为随机的主程序文件，XXX.EXE，然后运行这个XXX.EXE（不过进程名还是RootkitRevealer.exe），就是我们见到的软件界面了。由于名字是随机的想通过免疫文件夹的方式来阻止是不可能的了，RootkitRevealer哪会这么的弱？既然RootkitRevealer运行必须经过%temp%文件夹，那么就来删除控制%temp%文件夹的权限帐户：Adminisrator,Adminisrators与SYSTEM（每个人的不太一样）。

这招会给恶意程序自身带来些麻烦。%temp%的权限帐户被删了，不要说RootkitRevealer无法运行，只要是利用到%temp%的软件都无法正常运行了！

上面提到的方法不局限于对付RootkitRevealer！RootkitRevealer还是很不错的，技术是双刃刀，看你如何利用了，点击这里下载RootkitRevealer。