RootkitRevealer là một tiện ích phát hiện rootkit tiên tiến. Nó chạy trên Windows NT 4 và cao hơn và sản lượng của nó liệt kê Registry và các tập tin API khác biệt hệ thống có thể chỉ ra sự hiện diện của một rootkit chế độ user-mode hoặc hạt nhân.
Tải về
phiên bản mới nhất
226KB
RootkitRevealer phát hiện thành công nhiều rootkits dai dẳng bao gồm AFX, Vanquish và HackerDefender (lưu ý: RootkitRevealer không có ý định để phát hiện rootkit như Fu không cố gắng để ẩn các tập tin của họ hoặc khóa registry).
Vì công việc rootkit liên tục bằng cách thay đổi các kết quả API để một cái nhìn hệ thống bằng cách sử dụng các API khác nhau từ quan điểm thực tế trong lưu trữ, RootkitRevealer so sánh các kết quả của một quét hệ thống ở mức cao nhất ở mức thấp nhất. Mức cao nhất là Windows API và mức thấp nhất là nội dung nguyên liệu của một khối lượng tập tin hệ thống hoặc Registry hive (file hive của Registry định dạng lưu trữ trên đĩa).
Vì vậy, rootkit, cho dù người sử dụng chế độ hoặc chế độ hạt nhân, thao tác các hàm API của Windows hoặc API bản địa để loại bỏ sự hiện diện của họ từ một danh sách thư mục, ví dụ, sẽ được nhìn thấy bởi RootkitRevealer là một sự khác biệt giữa các thông tin trả về bởi hàm API của Windows mà nhìn thấy quét liệu của các cấu trúc hệ thống tập tin một khối lượng FAT hay NTFS.
Tải về phiên bản mới nhất
226KB
RootkitRevealer phát hiện thành công nhiều rootkits dai dẳng bao gồm AFX, Vanquish và HackerDefender (lưu ý: RootkitRevealer không có ý định để phát hiện rootkit như Fu không cố gắng để ẩn các tập tin của họ hoặc khóa registry).
Vì công việc rootkit liên tục bằng cách thay đổi các kết quả API để một cái nhìn hệ thống bằng cách sử dụng các API khác nhau từ quan điểm thực tế trong lưu trữ, RootkitRevealer so sánh các kết quả của một quét hệ thống ở mức cao nhất ở mức thấp nhất. Mức cao nhất là Windows API và mức thấp nhất là nội dung nguyên liệu của một khối lượng tập tin hệ thống hoặc Registry hive (file hive của Registry định dạng lưu trữ trên đĩa).
Vì vậy, rootkit, cho dù người sử dụng chế độ hoặc chế độ hạt nhân, thao tác các hàm API của Windows hoặc API bản địa để loại bỏ sự hiện diện của họ từ một danh sách thư mục, ví dụ, sẽ được nhìn thấy bởi RootkitRevealer là một sự khác biệt giữa các thông tin trả về bởi hàm API của Windows mà nhìn thấy quét liệu của các cấu trúc hệ thống tập tin một khối lượng FAT hay NTFS.
Không có nhận xét nào:
Đăng nhận xét