Главная » Linux

Rootkitrevealer для windows 10

Содержание
  1. Как защититься от руткитов
  2. Сканирование компьютера на наличие rootkit-средств
  3. Rootkit Revealer
  4. RootkitRevealer 1.71
  5. Основная информация о программе
  6. Rootkitrevealer для windows 10
  7. BleepingComputer Review:
  8. Company’s Description:
  9. Поиск руткитов. Программа RootkitRevealer
  10. Поиск руткитов

Как защититься от руткитов

Rootkit-средство — это набор программных инст­рументов, которые устанавливает нарушитель на компьютер-жертву, причем жертва обычно ничего об этом не подозревает. Обычно хакерам удается устано­вить rootkit-средства, используя слабости «незалатанных» (unpatched) компьютерных систем, или даже полностью укрепленных систем, на которых рабо­тают потенциально уязвимые службы (такие как Microsoft Exchange, SQL Server или Active Directory) без защиты программного или аппаратного меж­сетевого фильтра (firewall). Rootkit-средства являются особенно коварными, потому что проектируются так, чтобы об их инсталляции на компьютер поль­зователя, тот ничего не знал. Методы, которые использует rootkit-средство, чтобы скрыть себя от пользователя могут также сделать его необнаружимым традиционными методами, например, антивирусными или даже антишпион­скими утилитами.

Сканирование компьютера на наличие rootkit-средств

Одним из лучших инструментов обнаружения rootkit-средств является RootkitRevealer компании Sysinternals. Эта утилита может работать как с графическим интерфейсом, так и из командной строки. Учетная запись пользова­теля, которая используется для работы с RootkitRevealer, должна иметь, как минимум, следующий уровень полномочий:

  • создание резервных копий каталогов и файлов;
  • загрузка драйверов;
  • выполнение задач обслуживания тома (Windows ХР и более поздние версии).

Необходимо запускать RootkitRevealer GUI с локальной консоли. Из него можно выполнять сканирование локального компьютера. По умолчанию ус­тановлены следующие необязательные (optional) параметры сканирования:

  • Hide NTFS Metadata Files (Скрывать файлы метаданных NTFS). Этот параметр указывает программе RootkitRevealer, что не нужно выводить стандартные файлы метаданных NTFS, так как эти файлы являются по умолчанию скрытыми от Windows API.
  • Scan Registry (Сканировать реестр). Этот параметр информирует Rootkit- Revealer, о том, что необходимо, кроме файловой системы, просканиро­вать реестр на наличие любых аномалий.

Для выполнения сканирования локального жесткого диска, просто щелк­ните по File | Scan.

Rootkit Revealer

User rating User Rating

RootkitRevealer is an advanced rootkit detection utility. It runs on Windows NT 4 and higher and its output lists Registry and file system API discrepancies that may indicate the presence of a user-mode or kernel-mode rootkit.

RootkitRevealer successfully detects many persistent rootkits including AFX, Vanquish and HackerDefender (note: RootkitRevealer is not intended to detect rootkits like Fu that don’t attempt to hide their files or registry keys).

Читайте также:  Vds сервера с тестовым периодом windows

Since persistent rootkits work by changing API results so that a system view using APIs differs from the actual view in storage, RootkitRevealer compares the results of a system scan at the highest level with that at the lowest level. The highest level is the Windows API and the lowest level is the raw contents of a file system volume or Registry hive (a hive file is the Registry’s on-disk storage format).

Thus, rootkits, whether user mode or kernel mode, that manipulate the Windows API or native API to remove their presence from a directory listing, for example, will be seen by RootkitRevealer as a discrepancy between the information returned by the Windows API and that seen in the raw scan of a FAT or NTFS volume’s file system structures.

RootkitRevealer 1.71

Автор
Языки Русский
Лицензия Freeware (Бесплатная)

  • Основная информация о программе

    RootkitRevealer — это небольшая утилита для обнаружения руткитов (специальной технологии, позволяющей скрывать отдельные вредоносные объекты в системе).

    Программа выполняет сравнение двух различных сканирований системы — одно сканирование проводится с использованием Windows API верхнего уровня, а второе – на самом нижнем уровне (файловая система и данные реестра) — после чего выявляет и сообщает обо всех несоответствиях. При этом любой объект, видимый при сканировании на нижнем уровне, и невидимый на верхнем уровне сразу попадает в отчёт.

    Для уменьшения количества ошибочных результатов рекомендуется запускать RootkitRevealer на простаивающей системе, завершив работу всех приложений.

    Программа позволяет обнаруживать руткиты user-mode и kernel-mode (работающие в пользовательском режиме или в режиме ядра). То есть, те, которые сохраняют себя на жёстком диске и возобновляют работу после перезагрузки. Утилита не может обнаружить руткиты, присутствующие только в оперативной памяти.

    Rootkitrevealer для windows 10

    BleepingComputer Review:

    RootkitRevealer is a rootkit scanner from Microsoft Sysinternals. This program will search for user-mode or kernel-mode rootkits and list any API discrepancies that are found. The program was originally developed in 2006, which was before the more advanced rootkits were developed. Therefore, this program will not be able to properly detect new rootkits that use MBR or other advanced technologies.

    RootkitRevealer, though, is still a useful tool to looks for API hooks or other discrepancies that could alert you to a program, or malware, doing something it shouldn’t be.

    Company’s Description:

    RootkitRevealer is an advanced rootkit detection utility. It runs on Windows XP (32-bit) and Windows Server 2003 (32-bit), and its output lists Registry and file system API discrepancies that may indicate the presence of a user-mode or kernel-mode rootkit. RootkitRevealer successfully detects many persistent rootkits including AFX, Vanquish and HackerDefender (note: RootkitRevealer is not intended to detect rootkits like Fu that don’t attempt to hide their files or registry keys). If you use it to identify the presence of a rootkit please let us know!

    The reason that there is no longer a command-line version is that malware authors have started targetting RootkitRevealer’s scan by using its executable name. We’ve therefore updated RootkitRevealer to execute its scan from a randomly named copy of itself that runs as a Windows service. This type of execution is not conducive to a command-line interface. Note that you can use command-line options to execute an automatic scan with results logged to a file, which is the equivalent of the command-line version’s behavior.

    Поиск руткитов. Программа RootkitRevealer

    Как правило, руткит ничем не проявляет себя, компьютер работает стабильно и без каких либо признаков заражения, однако руткит является той лазейкой, через которую незамеченными стандартным антивирусом в систему могут проникнуть любой зловред.

    Вот почему так важно использование наряду с антивирусными программами дополнительных средств безопасности, что бы производить и поиск руткитов .

    Одним из таких инструментов является RootkitRevealer – маленькая утилита, входящая в состав пакета Sysinternals Suite. Даже самый продвинутый руткит не может не оставить хотя бы едва заметный след в системе в виде ключей реестра или файлов на жестком диске.

    Во время сканирования RootkitRevealer обрабатывает файлы, извлекаемые путем анализа системного реестра и сравнивает полученные данные с результатами работы API-интерфейсов файловой системы.

    • Ознакомьтесь с предложением, предоставляет молниеносные скорости и не регистрирует активность пользователей Лучший Сервис VPN
    • Один из лучших сервисов хотя и не дешевый. Множество функций безопасности, поддержка P2P и стримов Сервис NordVPN
    • Я предпочитаю всем сервисам впн создавать свой. Вот инструкция как создать собственный VPN сервер

    Обнаруженные несоответствия могут свидетельствовать о присутствии в системе вредоносных программ – руткитов.


    Утилита способна отыскивать большинство постоянных руткитов, включая такие как HackerDefenter, AFX и Vanquish. RootkitRevealerм не требует инсталляции, имеет предельно простой интерфейс и самый минимум функций.

    Но не следует исключать и того, что некоторые типы руткитов RootkitRevealer все же может пропустить, ведь вирусописатели тоже не бездействуют и все время придумывают все новые способы обхода защиты.

    Поиск руткитов

    При первом запуске программка предложит согласиться с условиями использования, далее откроется маленькое окошко, в котором нужно просто нажать кнопку «Scan». В тот момент, когда RootkitRevealer будет производить сканирование реестра, компьютер может временно перестать откликаться на команды.

    По умолчанию, согласно настройкам метаданных NTFS не производится. Если вы хотите проверить эту область, в пункте меню «Options» → «Hide standard NTFS Metadata files» следует снять галочку. После того как утилита проведет сканирование, список возможных проблем будет выведен в главном окне.

    Как таковая, функция удаления файлов или ключей реестра в программе отсутствует. RootkitRevealer просто информирует пользователя, показывая причину, по которой элемент попал в список «подозреваемых», размер файла и полный путь к нему от корневой директории.

    Не смотря на очевидную простоту этого маленького приложения, не стоит спешить удалять все обнаруженные утилитой элементы. И вообще, работать с RootkitRevealer рекомендуется более опытным пользователям, имеющие четкие понятия о реестре и файловой системе.

    Следует учесть и то, что как и всякая другая антивирусная программа, утилита RootkitRevealer может допускать ошибки и выдавать неверные результаты. В связи с этим запускать RootkitRevelaer нужно только с правами администратора и на простаивающей системе, то есть все пользовательские приложения должны быть закрыты.

    Продолжение обзора утилит из пакета Sysinternals Suite буду продолжать, поэтому если интересно рекомендую подписаться на обновления

    Читайте также:  0xc000221 windows 10 код ошибки
    • Оцените статью
    © 2024 Советы по настройке компьютера