Veröffentlicht von Sysinternals am
10 Sep 2014
-
Dateigröße
225.97 KB -
Lizenz
Freeware -
OS
Windows -
Entwickler
Sysinternals -
Aktualisiert am
10 Sep 2014 -
Downloads
1,157 (1 letzte Woche)
"Eine fortgeschrittene Rootkit-Erkennung Dienstprogramm."
RootkitRevealer ist ein fortschrittliches Rootkit-Erkennung Dienstprogramm. Es läuft auf Windows NT 4 und höher und seine Ausgabe listet Registrierungs-und Dateisystem-API Diskrepanzen, die das Vorhandensein eines User-Mode-oder Kernel-Mode-Rootkit hinweisen können.RootkitRevealer kann erfolgreich erkennen alle persistenten Rootkits unter www.rootkit.com veröffentlicht, darunter Vanquish, AFX und HackerDefender (Hinweis: RootkitRevealer ist nicht dazu gedacht, Rootkits wie Fu, die nicht versuchen, ihre Dateien oder Registrierungsschlüssel zu verbergen erkennen).
Der Begriff Rootkit wird benutzt, um die Mechanismen und Techniken, bei denen Malware, einschließlich Viren, Spyware und Trojaner, versuchen, ihre Anwesenheit von Spyware-Blocker, Antiviren-und System-Management-Utilities zu verbergen zu beschreiben. Es gibt verschiedene Klassifikationen Rootkit je nachdem, ob die Malware einen Neustart übersteht und ob es im User-Modus ausgeführt wird oder Kernel-Modus.
Persistente Rootkits
Ein beständiges Rootkit ist ein mit Malware, die jedes Mal Systemstart aktiviert wird assoziiert. Weil solche Malware Code enthalten, der automatisch ausgeführt werden muss bei jedem Systemstart oder wenn sich ein Benutzer anmeldet, müssen sie Code in einem persistenten Speicher zu speichern, wie etwa die Registry oder im Dateisystem, und konfigurieren Sie eine Methode, mit der der Code ausgeführt, ohne Eingreifen des Benutzers.
Memory-Based Rootkits
Speicher-basierten Rootkits sind Malware, die keinen dauerhaften Code enthält und daher nicht überleben einen Neustart.
User-Mode-Rootkits
Es gibt viele Methoden, mit denen Rootkits versuchen, der Entdeckung zu entgehen. Zum Beispiel könnte ein Benutzer-Mode-Rootkit alle Anrufe auf dem Windows FindFirstFile / FindNextFile APIs, die vom Dateisystem Exploration Dienstprogramme, einschließlich Explorer und der Eingabeaufforderung, um den Inhalt des Dateisystems Verzeichnisse aufzulisten verwendet werden, abzufangen. Wenn eine Anwendung führt eine Verzeichnisliste, die sonst zurückkehren würden Ergebnisse, die Einträge Identifizierung der Dateien mit dem Rootkit in Zusammenhang, die Rootkit-abfängt und modifiziert die Ausgabe, um die Einträge zu entfernen enthalten.
Die native Windows-API dient als Schnittstelle zwischen User-Mode-Kunden und Kernel-Mode-Dienste und anspruchsvollere User-Mode-Rootkits fangen Dateisystem, Registry und Prozess Aufzählung Funktionen der Native API. Dies verhindert, dass ihre Erkennung durch Scanner, die die Ergebnisse einer Windows-API-Enumeration mit, dass von einem nativen API-Enumeration zurückgegeben zu vergleichen.
Kernel-Mode-Rootkits
Kernel-Mode-Rootkits können noch leistungsfähiger, da können sie nicht nur abfangen, das native API im Kernel-Modus, aber sie können auch direkt bearbeiten Kernel-Mode-Datenstrukturen. Eine übliche Technik zum Verbergen der Anwesenheit eines Malware-Prozesses ist es, den Prozess von der Kernel-Liste der aktiven Prozesse zu entfernen. Da Prozess-Management-APIs auf den Inhalt der Liste zu verlassen, wird der Prozess der Malware nicht im Prozess-Management-Werkzeuge anzuzeigen, wie Task-Manager oder Process Explorer.
Herunterladen RootkitRevealer 1.71
(225.97 KB)
Antivirus-Informationen
Download3k heruntergeladen RootkitRevealer am 10 Sep 2014 und überprüft es mit einigen der neuesten Antiviren-Engines. Hier ist der Scan-Bericht:
-
Avast:
Sauber -
Avira:
Sauber -
Kaspersky:
Sauber -
NOD32:
Sauber