Το RootkitRevealer είναι ένα προηγμένο βοηθητικό πρόγραμμα εντοπισμού rootkit. Εκτελείται σε Windows NT 4 και άνω, ενώ η έκδοσή του εκθέτει τις αναφορές μητρώου και αρχείων συστήματος API που μπορεί να υποδηλώνουν την παρουσία ενός user-mode ή του kernel-mode rootkit. Προσοχή δεν λειτουργεί σε 64 Bit συστήματα.

Διαβάστε : Τι είναι η επαναφορά αρχείων και πως λειτουργεί το Data Recovery

Το RootkitRevealer ανιχνεύει με επιτυχία πολλά επίμονα rootkits όπως τα AFX, Vanquish και HackerDefender (σημειώστε ότι το RootkitRevealer δεν έχει σκοπό να ανιχνεύσει rootkits όπως Fu που δεν προσπαθούν να αποκρύψουν τα αρχεία ή τα κλειδιά μητρώου τους).

Δεδομένου ότι οι συνεχείς λειτουργίες rootkits λειτουργούν με την αλλαγή των αποτελεσμάτων API, έτσι ώστε η προβολή συστήματος χρησιμοποιώντας API να διαφέρει από την πραγματική προβολή στο χώρο αποθήκευσης, το RootkitRevealer συγκρίνει τα αποτελέσματα μιας σάρωσης του συστήματος στο υψηλότερο επίπεδο με εκείνα στο χαμηλότερο επίπεδο. Το υψηλότερο επίπεδο είναι το API των Windows και το χαμηλότερο επίπεδο είναι τα ακατέργαστα περιεχόμενα ενός τόμου συστήματος αρχείων ή μιας ομάδας μητρώου (ένα αρχείο ομάδας είναι το Registry’s on-disk storage format).

Ο λόγος που δεν υπάρχει πλέον μια έκδοση γραμμής εντολών είναι ότι οι δημιουργοί κακόβουλου λογισμικού έχουν αρχίσει να στοχεύουν τη σάρωση του RootkitRevealer χρησιμοποιώντας το εκτελέσιμο όνομα του. Επομένως, έχει ενημερωθεί το RootkitRevealer για να εκτελέσει τη σάρωση του από ένα τυχαία αναφερόμενο αντίγραφο του ίδιου του, το οποίο εκτελείται ως υπηρεσία των Windows. Αυτός ο τύπος εκτέλεσης δεν ευνοεί τη διεπαφή γραμμής εντολών. Σημειώστε ότι μπορείτε να χρησιμοποιήσετε τις επιλογές γραμμής εντολών για να εκτελέσετε μια αυτόματη σάρωση με καταγεγραμμένα αποτελέσματα σε ένα αρχείο, το οποίο είναι ισοδύναμο με τη συμπεριφορά της γραμμής εντολών.

Επομένως, τα rootkits, είτε πρόκειται για λειτουργία χρήστη είτε για Kernel Mode, τα οποία χειρίζονται το API των Windows ή το εγγενές API για να αφαιρέσουν την παρουσία τους από μια λίστα καταλόγου, για παράδειγμα, θα θεωρηθούν από το RootkitRevealer ως διαφορά μεταξύ των πληροφοριών που επιστρέφονται από το API των Windows στην πρωτογενή σάρωση δομών συστήματος αρχείων FAT ή NTFS του τόμου.

Διαβάστε αναλυτικά και κατεβάστε το πρόγραμμα.