Sophos Anti-Rootkit

Sophos 也推出了免費的 Rootkit 檢測/移除工具名為 Sophos Anti-Rootkit，安裝之後在目錄內有 sarcli 和 sargui.exe，分別為 Command mode 和視窗模式的主程式 (請勿同時執行)，可以對記憶體、Registry 及硬碟中檔案進行偵測。

除了之前很紅的 Sony 事件外，Rootkit 也被不少光碟模擬程式 (如 Alcohol) 用以隱藏自身，避免被遊戲的保護機制偵測到，像這類的情況，通常透過 Windows 提供的 Registry API 是無法看到正確的值，例如啟動 regedit，察看 Alcohol 的一個 hive，如下圖。

而 Sophos Anti-Rootkit 這類工具是直接讀取 registry 的 raw data 並 dump 出來比對，也因此處理這個部分的時候通常你會發覺磁碟 I/O 變頻繁了。最後比對出差異的部分，像上述的 hive 中就找出了還有一個名為 jdgg40 的值。

最後你可以勾選要移除的部分 ~~~ 不過他說明內說不負責建議啦