有没有办法在 64 位 Windows 7 上找到 rootkit

我经常在 64 位 Vista 上成功使用 combofix。根据我的经验，无论应用程序是否利用系统操作，64 位都会利用系统操作。虽然我不同意 Vista 64 完全没有 rootkit，但在 64 位操作系统上获取 rootkit 要困难得多。硬件制造商仍然很难为 64 位制作驱动程序，我认为我们在一段时间内不会看到太多 64 位 root kit。如果你讨厌 64 位，那就习惯它吧，不管你喜欢与否，4GB 内存都会过时。到那时，就需要 64 位了。

Sophos 反Rootkit声称能够扫描并删除 64 位 Windows 7 上的 rootkit。

有没有已知/推荐的方法来对 64 位 Windows 系统进行 rootkit 扫描？

对于这一点，我只信任两个程序： 组合修复其次是删除空值。

不过我不确定 ComboFix 是否支持 64 位。但如果您在使用前创建还原点，那么在出现问题时您应该能够使用恢复控制台进行还原。

但我觉得有必要在这里说明两点：

1. 64位热潮
我还不明白为什么坚持使用 64 位版本的操作系统。出于所有实际原因，这样做几乎没有任何好处。只有当利用新处理器功能和地址空间的 64 位应用程序成为主流时，64 位操作系统才有用。事实并非如此。很少有应用程序是真正的 64 位，而那些应用程序只是为了兼容性原因。大多数情况下，这些应用程序不使用任何这些功能，也不需要任何这些功能。然后，正如您现在所看到的，当您尝试获取可能无法在 64 位下运行良好的专用软件时，您就会遇到麻烦。

2.方法
没有明确的方法来检查 rootkit。即使 combofix 也采用了自己的方法，可以让其他或较新的 rootkit 安然无恙。也就是说，您选择的工具始终是恢复控制台或启动到安全模式，其中许多 rootkit 不会运行。

因此，一些防火墙产品提供了系统级保护（我认为科摩多，例如），它将允许您查看系统级提示，告知您计算机中正在发生的许多变化。

此外，您应该将 UAC 启用到最高级别，并从非管理员帐户运行。这就是 UAC 的用途，现在没有理由不以非特权帐户运行我们的 Windows 计算机。没有 rootkit 可以绕过这一点，这实际上意味着您无需担心搜索它们。

是不是因为我运行的是 64 位操作系统，所以我的机器不太可能出现 rootkit 问题。rootkit 是否必须以 64 位进程运行？由于 64 位的目标受众较小，现在 rootkit 不太可能被写入目标 64 位？我的风险面实际上更小吗？

不幸的是，不行。如上所述，64 位系统允许 32 位应用程序以任何级别。但请注意！您确实添加了一定级别的保护，因为可能存在一些 rootkit，它们可能会因多种原因在 64 位操作系统下失败；与许多其他 32 位应用程序一样，它们也往往会在 64 位操作系统下莫名其妙地失败。Rootkit 并不能免受错误的影响。但仅此而已。

尽管如此，某些 rootkit 也有可能开始专门针对 64 位系统。所以你真的没有任何地方更安全。