电脑系统中缓存文件名为_电脑缓存目录是什么意思

2024-07-09 17:14:32

1.电脑图标缓存在哪，怎么清理？

2.电脑缓存是什么

3.c盘哪些文件可以删除？

4.我的电脑会生成tmp****.tmp或tmp***.tmp

电脑系统中缓存文件名为_电脑缓存目录是什么意思

你好知友!

Win7的WinRAR?默认缓存路径在系统临时文件夹:

C:\Users\你的用户名\AppData\Local\Temp

如果我的回答对你有帮助.请点击我的回答下方选为满意回答按钮.你的采纳是我们回答的动力.

☆★☆?软硬谦施?团队（电脑网络）?☆★☆?祝顺利,如有帮助,望及时采纳.?☆★☆

电脑图标缓存在哪，怎么清理？

mac系统中PS缓存文件的路径：/Library/Caches/ ，缓存空间就是存在磁盘。Photoshop很吃内存，当内存不够用时还会自动启用缓存盘，电脑慢慢就变得卡顿无比。当然这其中有一部分原因是电脑性能不足，另一部分则是Photoshop“有多少用多少”的工作原理。

适当增加Photoshop内存使用量可以增加软件运行效率，前提是电脑拥有足够内存容量，默认60-70%其实就够用。当然很多电脑内存只是刚刚够用这样子，处理照片还会打开浏览器、QQ聊天工具、音乐播放器什么的，这时就要考虑压缩Photoshop内存用量，给其他软件预留空间。

另外，如果平时Photoshop使用率不高，而且只是做一些简单处理，那么也可以适当压缩Photoshop内存用量。

扩展资料

ps电脑配置要求：CPU

cpu性能的好坏对于ps比较重要，但是不需要太高端。性能越高的CPU，PS处理的速度就越快，吃CPU的主要是滤镜这些，其它的倒是不怎么敏感。频率越高的cpu，表现会越好。现在新版本的PS加强了对多核心多线程的优化，对现在新的CPU更友好了。

ps电脑配置要求：内存?

在运行photoshop软件的时候是很吃内存的，尤其是当你处理的较大时，现在的电脑水平，8GB内存也只是起步，对于一般的平面设计来说，8G内存还算够用，比如像做淘宝店美工之类的。

ps电脑配置要求：硬盘

对于ps来说，硬盘的速度不容忽视。PS打开存储有时真的很痛苦，机械硬盘和固态硬盘对PS来说更加是两重天，比如打开一个13GB的，用机械硬盘需要10分钟，而随便换个SSD，5分钟就能顺利打开了。

电脑缓存是什么

请尝试以下方法：

方法一：

1、打开文件夹，选择左上角“文件”选项卡，点击“更改文件夹和搜索选项”

2、选择“查看”选项卡

3、在“高级设置”中，选择“显示隐藏的文件、文件夹和驱动器”，并应用确定

4、键盘同时按下“win+R”键，输入%USERPROFILE%\AppData\Local，确定

5、打开的文件夹窗口，点击“查看”，勾选“隐藏的项目”

6、删除IconCache.db图标缓存文件

若以上方法无效，请尝试以下方法

方法二：

1，新建“文本文档”

2、打开“文本文档”，并保存以下内容

rem 关闭Windows外壳程序explorer

taskkill /f /im explorer.exe

rem 清理系统图标缓存数据库

attrib -h -s -r "%userprofile%\AppData\Local\IconCache.db"

del /f "%userprofile%\AppData\Local\IconCache.db"

attrib /s /d -h -s -r "%userprofile%\AppData\Local\Microsoft\Windows\Explorer\*"

del /f "%userprofile%\AppData\Local\Microsoft\Windows\Explorer\thumbcache_32.db"

del /f "%userprofile%\AppData\Local\Microsoft\Windows\Explorer\thumbcache_96.db"del /f "%userprofile%\AppData\Local\Microsoft\Windows\Explorer\thumbcache_102.db"del /f "%userprofile%\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db"del /f "%userprofile%\AppData\Local\Microsoft\Windows\Explorer\thumbcache_1024.db"del /f "%userprofile%\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db"del /f "%userprofile%\AppData\Local\Microsoft\Windows\Explorer\thumbcache_sr.db"

rem 清理系统托盘记忆的图标

echo y|reg delete "HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\CurrentVersion\TrayNotify" /v IconStreams

echo y|reg delete "HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\CurrentVersion\TrayNotify" /v PastIconsStream

rem 重启Windows外壳程序explorer

start explorer

rem 重启Windows外壳程序explorer

start explorer

3、将文件重命名为“重置图标缓存.bat”，双击文件

c盘哪些文件可以删除？

问题一：电脑缓存是什么意思电脑缓存（狭义）

计算机由于CPU运算的很快，而运算从内存读取数据速度不够，导致瓶颈（形象点，瓶颈是细细的，大量数据通过会造成堵塞，速度减缓），于是现代计算机采用的缓存技术，即在CPU在处理数据时先从缓存中提取数据（缓存内置在CPU中，它与CPU的数据交换速度远大于内存），而缓存中的数据是从内存中提取的。

不管是什么缓存，它的原理都是一样的！快和慢之间通过缓冲带进行过渡！

问题二：缓存是什么意思呢？电脑缓存又是什么意思呢？缓存是指临时文件交换区，电脑把最常用的文件从存储器里提出来临时放在缓存里，就像把工具和材料搬上工作台一样，这样会比用时现去仓库取更方便。因为缓存往往使用的是RAM（断电即掉的非永久储存），所以在忙完后还是会把文件送到硬盘等存储器里永久存储。电脑里最大的缓存就是内存条了，最快的是CPU上镶的L1和L2缓存，显卡的显存是给GPU用的缓存，硬盘上也有16M或者32M的缓存。千万不能把缓存理解成一个东西，它是一种处理方式的统称！

问题三：笔记本电脑缓存有啥用，什么意思许多人认为，“缓存”是内存的一部分

许多技术文章都是这样教授的

但是还是有很多人不知道缓存在什么地方，缓存是做什么用的

其实，缓存是CPU的一部分，主要用于上网时零时暂存的一些东西，它存在于CPU中

CPU存取数据的速度非常的快，一秒钟能够存取、处理十亿条指令和数据（术语：CPU主频1G），而内存就慢很多，快的内存能够达到几十兆就不错了，可见两者的速度差异是多么的大

缓存是为了解决CPU速度和内存速度的速度差异问题

内存中被CPU访问最频繁的数据和指令被复制入CPU中的缓存，这样CPU就可以不经常到象“蜗牛”一样慢的内存中去取数据了，CPU只要到缓存中去取就行了，而缓存的速度要比内存快很多

这里要特别指出的是：

1.因为缓存只是内存中少部分数据的复制品，所以CPU到缓存中寻找数据时，也会出现找不到的情况（因为这些数据没有从内存复制到缓存中去），这时CPU还是会到内存中去找数据，这样系统的速度就慢下来了，不过CPU会把这些数据复制到缓存中去，以便下一次不要再到内存中去取。

2.因为随着时间的变化，被访问得最频繁的数据不是一成不变的，也就是说，刚才还不频繁的数据，此时已经需要被频繁的访问，刚才还是最频繁的数据，现在又不频繁了，所以说缓存中的数据要经常按照一定的算法来更换，这样才能保证缓存中的数据是被访问最频繁的

3.关于一级缓存和二级缓存

为了分清这两个概念，我们先了解一下RAM

ram和ROM相对的，RAM是掉电以后，其中才信息就消失那一种，ROM在掉电以后信息也不会消失那一种

RAM又分两种，

一种是静态RAM，SRAM；一种是动态RAM，DRAM。前者的存储速度要比后者快得多，我们现在使用的内存一般都是动态RAM。

有的菜鸟就说了，为了增加系统的速度，把缓存扩大不就行了吗，扩大的越大，缓存的数据越多，系统不就越快了吗

缓存通常都是静态RAM，速度是非常的快，

但是静态RAM集成度低（存储相同的数据，静态RAM的体积是动态RAM的6倍），

价格高（同容量的静态RAM是动态RAM的四倍），

由此可见，扩大静态RAM作为缓存是一个非常愚蠢的行为，

但是为了提高系统的性能和速度，我们必须要扩大缓存，

这样就有了一个折中的方法，不扩大原来的静态RAM缓存，而是增加一些高速动态RAM做为缓存，

这些高速动态RAM速度要比常规动态RAM快，但比原来的静态RAM缓存慢，

我们把原来的静态ram缓存叫一级缓存，而把后来增加的动态RAM叫二级缓存。

一级缓存和二级缓存中的内容都是内存中访问频率高的数据的复制品（映射），它们的存在都是为了减少高速CPU对慢速内存的访问。

通常CPU找数据或指令的顺序是：先到一级缓存中找，找不到再到二级缓存中找，如果还找不到就只有到内存中找了

问题四：电脑中的缓冲和缓存是什么意思我想比较通俗的说法来告诉你缓冲：我想你问的是每次播放歌曲和**时候的缓冲是什么？对吧？其实你每次不论是看**，还是听歌，都是把**和歌曲下载到了你的电脑上再进行听和看。像一般的IE浏览器都是下载到这个路径C:\Documents and Settings\用户名（一般都是 “Administrator”）\Local Settings\Temporary Internet Files所以说缓冲其实就是已经下载到你电脑的部分缓存：缓存是一个为了提高数据传输速率的临时存放区域。简单的说就是临时文件交换区。电脑中最大的一个缓存就是内存条；cup中也有缓存，切分等级，作用是为了提高cup与硬盘、内存、键鼠等之间的数据传输；硬盘、显卡也都有缓存我想你差不多明白了吧！

问题五：电脑硬盘缓存是什么硬盘控制器的内存芯片是64MB缓存Cache memory是硬盘控制器上的一块内存芯片具有极快的存取速度它是硬盘内部存储和外界接口之间的缓冲器。因为硬盘的内部数据传输速度和外界介面传输速度不合缓存在个中起到一个缓冲的感化。缓存的大年夜小与速度是直接关系到硬盘的传输速度的重要身分可以或许大年夜幅度地进步硬盘整体机能。当硬盘存取零碎数据时须要赓续地在硬盘与内存之间交换数据假如有大年夜缓存则可以将那些零碎数据暂存在缓存中减小外体系的负荷也进步了数据的传输速度。硬盘的缓存重要起三种感化：一是预读取。当硬盘受到CPU指令控制开端读取数据时硬盘上的控制芯片会控制磁头把正在读取的簇的下一个或者几个簇中的数据读到缓存中因为硬盘上数据存储时是比较持续的所以读取射中率较高当须要读取下一个或者几个簇中的数据的时刻硬盘则不须要再次读取数据直接把缓存中的数据传输到内存中就可以了因为缓存的速度远远高于磁头读写的速度所以可以或许达到明显改良机能的目标；二是对写入动作进行缓存。当硬盘接到写入数据的指令之后并不会立时将数据写入到盘片上而是先临时存储在缓存里然后发送一个数据已写入的旌旗灯号给体系这时体系就会认为数据已经写入并持续履行下面的工作而硬盘则在余暇不进行读取或写入的时刻时再将缓存中的数据写入到盘片上。固然对于写入数据的机能有必定晋升但也弗成避免地带来了安然隐患――假如数据还在缓存里的时刻忽然掉落电那么这些数据就会损掉。对于这个问题硬盘厂商们天然也有解决办法：掉落电时磁头会借助惯性将缓存中的数据写入零磁道以外的暂存区域比及下次启动时再将这些数据写入目标地；第三个感化就是临时存储比来拜访过的数据。有时刻某些数据是会经常须要拜访的硬盘内部的缓存会将读取比较频繁的一些数据存储在缓存中再次读取时就可以直接从缓存中直接传输。大年夜容量的缓存固然可以在硬盘进行读写工作状况下让更多的数据存储在缓存中以进步硬盘的拜访速度但并不料味着缓存越大年夜就越出众。缓存的应用存在一个算法的问题即便缓存容量很大年夜而没有一个高效力的算法那将导致应用中缓存数据的射中率偏低无法有效发挥出大年夜容量缓存的优势。算法是懈弛存容量相辅相成大年夜容量的缓存须要更为有效力的算法不然机能会大年夜大年夜扣头从技巧角度上说高容量缓存的算法是直接影响到硬盘机能发挥的重要身分。更大年夜容量缓存是将来硬盘成长的必定趋势。

问题六：电脑CPU的缓存是什么？举例子说明这是我回答别人问题的答案，和你问题类似，希望有帮助：

同样核心构架同样缓存同样核心数量情况下主频高则处理速度快解释一下：主频表示时钟频率 cpu一般为上升沿或下降沿触发也就是说高电位变换到地电位时候会从寄存器进行运位移一位 3.0Ghz就是一秒钟电平变换3G次用也就是进行3G次寄存器位移，那么一秒钟寄存器位移越多运算就越快但是，核心构架就好像交通方式好的核心构架就好像地下隧道直达目的地落后的构架就像土路弯曲泥泞在土路上开车速度120 也不没有地下隧道骑电瓶车更快到达目的地所以核心构架很关键还有缓存一二三级缓存分别存放不同优先等级的指令缓存越大一次清空缓存之前进行的运算就越多越小则需不断清空才可以继续运算就像瘦子吃多顿搬一顿砖头壮汉猛吃一顿就搬一吨砖核心数量就不说了四个人干活和一个人干活效率不用比较

问题七：电脑介绍里的几MB缓存是什么意思有什么用作为临时存储器，这样cpu再运算的时候会更快，实际工作时，CPU往往需要重复读取同样的数据块，而缓存容量的盯大，可以大幅度提升CPU内部读取数据的命中率，而不用再到内存或者硬盘上寻找，以此提高系统性能

问题八：电脑缓存取决什么配置缓存是哪里都有的，硬盘 U盘 CPU 内存显卡都有，取决于大家

问题九：电脑中的一级缓存二级缓存是属于什么的？缓存

缓存大小也是CPU的重要指标之一，而且缓存的结构和大小对CPU速度的影响非常大，CPU内缓存的运行频率极高，一般是和处理器同频运作，工作效率远远大于系统内存和硬盘。实际工作时，CPU往往需要重复读取同样的数据块，而缓存容量的增大，可以大幅度提升CPU内部读取数据的命中率，而不用再到内存或者硬盘上寻找，以此提高系统性能。但是由于CPU芯片面积和成本的因素来考虑，缓存都很小。

L1 Cache(一级缓存)是CPU第一层高速缓存，分为数据缓存和指令缓存。内置的L1高速缓存的容量和结构对CPU的性能影响较大，不过高速缓冲存储器均由静态RAM组成，结构较复杂，在CPU管芯面积不能太大的情况下，L1级高速缓存的容量不可能做得太大。一般服务器CPU的L1缓存的容量通常在32―256KB。

L2 Cache(二级缓存)是CPU的第二层高速缓存，分内部和外部两种芯片。内部的芯片二级缓存运行速度与主频相同，而外部的二级缓存则只有主频的一半。L2高速缓存容量也会影响CPU的性能，原则是越大越好，以前家庭用CPU容量最大的是512KB，现在笔记本电脑中也可以达到2M，而服务器和工作站上用CPU的L2伐速缓存更高，可以达到8M以上。

L3 Cache(三级缓存)，分为两种，早期的是外置，现在的都是内置的。而它的实际作用即是，L3缓存的应用可以进一步降低内存延迟，同时提升大数据量计算时处理器的性能。降低内存延迟和提升大数据量计算能力对游戏都很有帮助。而在服务器领域增加L3缓存在性能方面仍然有显著的提升。比方具有较大L3缓存的配置利用物理内存会更有效，故它比较慢的磁盘I/O子系统可以处理更多的数据请求。具有较大L3缓存的处理器提供更有效的文件系统缓存行为及较短消息和处理器队列长度。

其实最早的L3缓存被应用在AMD发布的K6-III处理器上，当时的L3缓存受限于制造工艺，并没有被集成进芯片内部，而是集成在主板上。在只能够和系统总线频率同步的L3缓存同主内存其实差不了多少。后来使用L3缓存的是英特尔为服务器市场所推出的Itanium处理器。接着就是P4EE和至强MP。Intel还打算推出一款9MB L3缓存的Itanium2处理器，和以后24MB L3缓存的双核心Itanium2处理器。

但基本上L3缓存对处理器的性能提高显得不是很重要，比方配备1MB L3缓存的Xeon MP处理器却仍然不是Opteron的对手，由此可见前端总线的增加，要比缓存增加带来更有效的性能提升。

问题十：电脑硬盘的缓存是干什么的，可以理解为暂存.因为硬盘的读写速度跟内存的速度不一样。

举个例子，假设有个生产玻璃珠的机器，你去取，它才会吐出来。

那么，你要取1000个，它不可能一下子吐出来，因为你拿不去。现在在它的吐口处放个盒子（能装大于1000颗），那么它一下子吐完，可以闲置下来了。

你可以从盒子里分多次取。

缓存，读写小数据避免反复读写，起到暂时存放数据。

我的电脑会生成tmp****.tmp或tmp***.tmp

系统文件通常不可删除，可删除的文件如下：

第一个文件：Documentsand Settings文件。

第二个文件：ProgramFiles文件夹了。

可以删除windows prefetc件夹，电脑系统产生的缓存一般在C盘的windows——prefetch这个文件夹里，里面的东西都可以删除。

另外日志记录也可以删除，日志记录主要是电脑遇到突发问题时候系统的记录，例如网页突然退出，软件闪退，这个清理掉对系统不会有影响，C盘的windows——system32中找到LogFiles文件夹，这个文件夹里的东西都可以删除。

扩展资料：

电脑可以适当删除temp文件夹，这些缓存垃圾是应用程序产生的，这些也是可以删除的。在windows文件夹中会有temp文件夹，把里面的文件都删掉即可。

通过这几种清理办法可以迅速释放C盘的空间，给电脑提速。但是釜底抽薪的方法，还是少在C盘装软件啦，下载软件的时候更改默认地址，在D盘或者F盘新建一个文件夹，专门放置软件，这样就不会占用C盘太多的内存了。

Rootkit基本是由几个独立程序组成，一个典型rootkit包括：以太网嗅探器程程序，用于获得网络上传输的用户名和密码等信息。特洛伊木马程序，为攻击者提供后门。隐藏攻击者目录和进程的程序。还包括一些日志清理工具，攻击者用其删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。还包括一些用来清理/var/log和/var/adm目录中其它文件的脚本。

最近最让IT管理员头痛的是什么呢？--毫无疑问是rootkit。这种可恶的程序是一批工具集，黑客用它来掩饰对计算机网络的入侵并获得管理员访问权限。一旦黑客获得管理员访问权限，就会利用已知的漏洞或者破解密码来安装rootkit。然后rootkit会收集网络上的用户ID和密码，这样黑客就具有高级访问权限了。

rootkit还有监控网络数据和按键的功能；为黑客在系统上开“后门”；修改日志文件；攻击网络上的其他计算机；修改系统上已有的工具防止被检测出来。那么如何发现rootkit呢？看看三位Windows安全专家对用户的rootkit问题提供了什么解决方案吧。//本文来自电脑软硬件应用网www.45it.com

用户的问题：我是一家大型非营利机构的IT管理员。由于我们缺乏资金和人手，我们的许多用户需要用管理员访问权限来完成工作。最近，越来越多的用户抱怨他们的管理员应用程序崩溃了。他们的一些管理软件不再工作，例如，一些系统上的抗病毒软件神秘的失效了。有的在试图使用应用程序时蓝屏死机，有的计算机莫名其妙地重启或发送错误信息。用普通的间谍软件和特洛伊木马扫描工具没有发现任何问题。是什么在捣鬼？我们需要重装所有出现问题的计算机吗？

专家教你清除rootkit之诊断：

Kurt Dillard：缺少细节，但是，有一些关键的信息。以前一直很可靠的各种计算机系统频繁出现操作系统崩溃的问题意味着受到感染的计算机中的某些东西被改变了。另一个重要的线索是杀毒软件自动关闭自己。最后一个线索是，标准的安全工具不能发现任何恶意软件表明如果这些计算机中有新的软件，这种软件正在偷偷地运行。这种文件隐藏起来了看不到，但是，仍在运行。如果惟一奇怪的事情是数不清的系统崩溃，我会怀疑操作系统最新使用的补丁、设备驱动程序或者一个安全应用程序有问题。这些症候结合在一起暗示某些恶意的东西在起作用。然而，它也许不是一个rootkit。你必须要做额外的研究以便发现正在发生的是什么。

Lawrence Abrams：当你的计算机开始出现异常情况时，我想到的第一件事情就是你的计算机被间谍软件、病毒、特洛伊木马、蠕虫或者其它形式的恶意软件感染了。如果在你使用杀毒软件和/或者反间谍软件进行扫描之后继续存在这个问题，那么，这个时候就该使用某些工具进行深入的分析了。需要检查的是计算机的启动程序，看看是否存在当前杀毒软件定义中没有的新的恶意软件。某些检测故障的软件程序是:

HijackThis：这是一种通用的主页劫持者检测和清除工具，能够连续不断地更新。

WinPFind：这个工具软件可以扫描硬盘中的普通位置，查找与已知的恶意软件使用的方式相匹配的文件。

Silent Runners：这个软件工具检查Windows是如何启动的并且创建一个文本文件以便进行研究或者作为一个基准储存起来。如果没有检测到任何东西，设法用安全模式运行这个程序和你的杀毒/反间谍软件。很多与蠕虫一起发布的普通的rootkit在安全模式不能够运行。因此，故障排查软件在安全模式下可以看到这些恶意软件。

如果在安全模式下发现新的记录和文件，计算机很可能受到了在Windows正式模式下看不到的普通rootkit的感染。另一方面，如果你在安全模式下运行同一个工具软件之后仍没有发现任何可疑的现象，但是这个恶意软件的行为继续存在，你可以推测你正在应付一个更高级的rootkit。

Kevin Beaver：考虑到安装的应用程序的奇怪行为，你很可能正在对付某种类型的恶意软件，最有可能是rootkit或者以远程接入特洛伊木马。这些恶意软件能够让黑客从外部偷偷进入没有保护措施的计算机。了解这个事情的惟一方法是运行能够扫描或者监视异常行为和rootkit的存在的其它扫描软件。这种工具可以是Sana安全公司的“Primary Response”，或者Finjan软件公司的各种解决方案以及Sysinternals公司的“RootkitRevealer”。

我还建议同时运行至少二种或者三种反间谍软件工具。也许还会有一些工具软件你没有用到。除了Spybot--Search & Destroy等常用的解决方案和Lavasoft Ad-Aware安全软件之外还有一些工具。我很幸运地使用了冠群国际的PestPatrol和微软的AntiSpyware等工具软件。监视老系统活动的另外两个工具是监视和封锁出站通讯的个人防火墙（不是Windows防火墙）以及能够监视可疑的系统进出的网络通信的网络分析器。当然，只有你的系统连接到网络的时候后一种选择才是可用的。

专家教你清除rootkit之立即行动：

Kurt Dillard：首先，将受影响的系统从网络断开是一个好主意。接下来，你需要决定你愿意投入多少时间。你愿意收集可能用来提出犯罪指控的证据吗？收集证据非常耗费时间，而且你必须要认真遵循适当的证据收集程序来做。你要确定这个事件的根源以便采取具体措施堵住被利用的任何安全漏洞吗?这也需要耗费很多时间。或者像我们大多数人一样，你没有那样多的时间，只是想尽快摆脱故障使系统恢复正常?无论你选择什么办法，我都希望你在事件发生之间制定一个具体的事件反应计划。如果你没有这个计划，你要确定写出一个适合你的机构的业务需求的书面计划。

收集能够用于法庭上的信息系统的证据需要严格的程序，把发生的一切事情都存档保存并且保护原始的数据。我建议，你应该在事件发生之前与你们机构的法律代表和一些业内专家合作制定一个计划。你要使用逐个字节拷贝的工具等软件（也就是Guidance软件公司的EnCase、AccessData公司的FTK Imager或者X-Ways软件技术公司的WinHex等工具软件），在安全的地方存储受到影响的系统，对这些工具软件创建的数据做适于法庭使用的整理工作。

找出发生问题的细节可能需要很多时间。但是，这项工作是令人着迷和有教育意义的。有一些rootkit检测工具：

·RootkitRevealer（成名的和令人尊敬的安全专家Mark Russinovich和Bryce Cogswell制作的）

·Blacklight（知名安全软件厂商F-Secure公司制作的）

·Klister（卑鄙的内核模式rootkitFU的作者制作的--你自己需要决定是否让你的网络信赖这个程序员）

这些工具都有自己独特的功能和缺陷。我喜欢使用RootkitRevealer。但是，恶意软件作者不断地更新他们的工具以便避开最新的检测应用程序，因此，我最喜欢的工具也许也不能检测出所有的恶意软件。你也许需要手工执行微软研究院2004年发布的工具软件“Strider GhostBuster”的白皮书中解释的那些程序。简言之，你要在系统启动的时候拍下系统的快照，收集每个硬盘的目录列表等信息。然后，你使用替代的操作系统启动计算机，用你在干净的操作系统中所看到的东西与被攻破的操作系统中的东西进行比较。

如果你没有时间了，在使受到影响的计算机系统脱离网络之后，你可以直接进入恢复阶段。

Lawrence Abrams：如果你发现的rootkit看起来像是与各种恶意软件捆绑在一起的普通的rootkit，那么，断开这台计算机的网络连接作为你的第一个措施应该是足够的。这将阻止其传播以及可能下载和安装更多的恶意软件。

另一方面，如果你确定那就是目标rootkit，是一个人专门攻破这台计算机并且安装的rootkit，那么，你应该按照你们的机构对付入侵的政策去做。遗憾的是，大多数公司对于这类事件没有政策。如果你可能采取法律行动的话，最低限度你要立即制作一个可在法院使用的硬盘的镜像，把原始的计算机保存起来以便在法庭上当作证据。如果你不打算采取法律行动，你就可以直接进入恢复阶段。

Kevin Beaver：我首先的建议是断开计算机的网络连接，不过，这只能在你能够承受这种损失的情况下才可以这样做（也就是说，如果这样做不影响主要的业务经营的话）。这样做有助于阻止任何恶意软件传播或者影响其它的网络计算机。第二，安装/运行我在诊断阶段提到的应用程序。你可能需要运行这些程序来监视系统的行动。然而，一旦系统受到感染，检测程序要发现异常或者正常的行为都是很困难的，如果不是不可能的话。这主要取决于具体的工具的工作情况。

专家教你清除rootkit之恢复系统：

Kurt Dillard：遗憾的是“用核打击让站点进入轨道”是最有力的恢复方法。一旦黑客攻破了你的计算机，你永远不会确定你发现并清除了每个一被修改的地方。

如果你拥有最新的备份，按下列步骤执行：

1.把硬盘从被感染的计算机中拆下来安装到另一台干净的计算机中；

2.从干净的系统备份数据；

3.删除受影响的计算机的操作系统，并且使用已知的良好的介质重新为受影响的计算机安装操作系统；

4.采取在预防措施阶段中介绍的步骤尽最大努力保证系统的安全；

5.把数据恢复到重建的计算机中；

6.使用最新的杀毒软件和反间谍软件全面扫描恢复的数据。

7.不要存储任何可执行文件。最佳方法是故意删除二进制、脚本、ActiveX控件等任何可执行文件。

Lawrence Abrams：从rootkit的影响中恢复过来是很棘手的。如果rootkit是通过普通的没有针对性的恶意软件安装的，清除这种侵犯你的计算机的恶意软件应该比恢复你的计算机还要困难。

另一方面，如果你对付的是Hacker Defender、HE4Hook、Vanquish或者FU等rootkit，那么，那就是黑客故意把这些rootkit安装到目标计算机中的。记住这个问题，你绝对想不到这些rootkit在你的计算机中安装了什么或者修改了什么。黑客也许会通过注册表修改安全设置，用黑客版本的文件替换你系统中的重要文件，或者以其它方式控制受害者的计算机或者网络。在这种情况下，我总是建议备份数据和重新安装操作系统。在你把数据复制到新安装的计算机之前，扫描一下数据，检查是否被感染。

如果重新安装计算机不是一种选择，你可以使用rootkit检测程序查找属于rootkit的文件。这类工具软件包括Blacklight、RootkitRevealer和Flister等。由于这些文件在rootkit程序之外很可能看不到，你可以使用可启动的Linux发布版软件如KNOPPIX、启动盘或者通过一个网络共享（不建议这样做）清除那些文件。

最后，如果你有资源重新安装计算机，那可能是你最佳的选择。

Kevin Beaver：如果你没有检测到任何rootkit，但是，异常的行为继续出现，你的最佳和最安全的选择是重新格式化和重新安装系统。在进行这种操作之前，你要确保备份一切必要的文件。由于目前大多数恶意软件（特别是rootkit）不感染二进制或者文本文件，这样做是很安全的。恶意软件主要感染可执行文件和操作系统以及应用程序使用的支持库文件。如果你能够清洁系统（如果发现了rootkit就很难做到），你需要经常扫描系统并且监视其它的可疑行为。再说一次，一定要使用我在诊断阶段所提到的那些工具。

专家教你清除rootkit之预防措施：

Kurt Dillard：你可以采取很多应对措施。下面是最有效的五个措施：

1.避免使用具有管理员权限的账户登录。你可以使用Windows内置的工具RunAs或者MakeMeAdmin等工具软件做到这一点；

2.运行一个为你的整个网络设置的防火墙以及分配给每个端口的防火墙软件，如Windows防火墙（包括Windows XP SP2）；

3.保持你的Windows和其它软件都是用最新的补丁和服务包。如果你只有少量的系统，你可以使用“Automatic Updates”（自动更新）等工具。如果你有很多系统，你可以使用Windows服务器更新服务；

4.使用拥有最新签名库的流行的杀毒软件。要了解更多的杀毒软件厂商，请参阅微软杀毒合作伙伴网页；

5.使用最新的间谍软件保护工具，如微软的Windows反间谍软件。

要了解更多的有关减小受到这种恶意软件攻击的风险的想法，可以参考我最近发表的技术指南。

Lawrence Abrams：安全方面最重要的步骤是尽一切努力阻止用户使用管理员的权限登录网络。可以理解的是，使用当前的Windows结构，这不可能总做到。当恶意软件感染一台计算机的时候，这个恶意软件将以登录用户同样的安全级别运行。因此，如果用户具有管理员权限，这个恶意软件也将拥有管理员权限。这种权限就给予恶意软件全面访问你的计算机的权利。

使用阻止其它恶意软件的最佳做法同样可以防止rootkit（无论是有针对性的蠕虫携带的还是病毒式的蠕虫携带的）。

1.使用防火墙封锁经常被黑客攻破的Windows TCP端口，如20、21、23、80、135、139、443和445端口。通过从源头封锁这些端口，你首先会减少被黑客攻破的风险。最佳的做法的是封锁每一个端口，仅把一个端口映射到一台需要打开端口的机器上。最近的蠕虫利用的程序中的安全漏洞就是使用这些端口。如果一台计算机需要使用上述端口，防火墙应该确定哪一台计算机可以通过这个端口远程接入这台计算机，而不是把端口完全敞开；

2.而且，每一台计算机都应该一直拥有最新的安全更新，并且运行每一天都更新的杀毒软件。病毒软件的新的定义是经常发布的，拥有这些最新的定义是非常重要的；

3.除了杀毒软件之外，你至少还需要两种反间谍软件工具，如在计算机上安装Spybot-Search and Destroy、Webroot软件公司的Spy Sweeper或者Lavasoft公司的Ad-Aware等工具软件。使用最新的更新每天或者每个星期扫描一次能够自动发挥最新的病毒定义的优势；

4.最后一条，但是不是最不重要的一条。要教育用户采取良好的做法。用户应该知道不要点击互联网广告、陌生人从即时消息中发来的链接或者陌生人发来的电子邮件的附件。如果一个新的蠕虫开始传播，IT工作人员应该立即发出电子邮件通知所有的用户，解释这种附件、配置或者措词。

拥有可随时使用的防火墙、反恶意软件工具、最新的安全更新和为用户提供的良好的互联网指南，你应该能够避免受到这些类型的恶意软件的感染。

Kevin Beaver：只要计算机是由人类操作的或者是连接到网络的，就没有办法绝对保证安全。然而，你可以安装反间谍软件、rootkit检测工具和监视异常情况的软件来保证系统的安全。最理想的是，如果你受到过一次攻击并且不想再次受到这种攻击，你最好安装上述的全部三类安全软件。此外，这句话也许是老生常谈，但是还是要强调一下。你要确保你严格执行所有的操作系统和应用程序都使用最新的安全补丁的规定。