對一般用戶而言，如何有效地檢測rootkit等惡意代碼，要比如何去設置系統避免rootkit的侵害要更加實惠，筆者總結如今最流行的rootkit檢測工具，為用戶介紹最四大檢測rootkit工具：

　　工具一：Sysinternals

　　Sysinternals提供了許多小巧的Windows實用程序，這對于對付底層的攻擊效果顯著，其所提供的的部分軟件是免費的，包括一些開源軟件及私有軟件。被最廣泛使用的有：

　　ProcessExplorer：它可以監視由任一個程序打開的文件和目錄。

　　PsTools：可以管理本地和遠程的過程。

　　Autoruns：可以發現在系統啟動期間有哪些程序被運行。

　　RootkitRevealer：可以檢測注冊表和文件系統的API變化情況，這些變化指明了某個用戶模式或內核模式rootkit的存在。

　　TCPView：可以查看由每一個過程使用的TCP和UDP通信點。

　　工具二：Tripwire

　　這是一款重量級的文件和目錄集成檢測工具。Tripwire可以幫助系統管理員和用戶監視指定文件的任何改變。與系統文件結合使用，Tripwire可以通知系統管理員文件變動情況，從而便于及時采取應對措施。用戶可以從Tripwire.Org的站點下載免費的（適用于Linux）開源版本。UNIX用戶可以考慮使用AIDE，AIDE被認為是替代Tripwire的免費版本。當然還可以考慮Radmind、RKHunter以及chkrootkit.Windows用戶可以考慮使用如RootkitRevealer等系統。

　　工具三：RKHunter

　　RKHunter是為UNIX設計的Rootkit檢測程序，可檢查用戶系統上多種惡意軟件行為，如rootkit、后門程序以及利用本地漏洞的程序。它可以運行多種測試，包括MD5、HASH比較、rootkit默認文件名、二進制文件許可，以及在LKM和KLD模塊中的可疑字符串。

　　工具四：chkrootkit

　　Chkrootkit可以在本地檢查一個rootkit的跡象。Chkrootkit是一個靈活的便攜式工具，它可以檢查基于UNIX系統的rootkit入侵的行為。其特性包括：檢測二進制的改變、檢測對文件utmp/wtmp/lastlog的修改、檢測惡意的內核模塊等。

　　當然還有很多優秀的rootkit檢測工具，用戶可以根據自己的需求去選擇它，但筆者以為只有通過養成良好的使用習慣，才是最好的安全預防手段。