RootkitRevealer最新版是一款功能強(qiáng)大好用的rootkit檢測(cè)軟件，RootkitRevealer最新版能夠在Windows系統(tǒng)中進(jìn)行簡(jiǎn)單的運(yùn)行，能夠幫助用戶們檢測(cè)rootkit，你可以在RootkitRevealer最新版看到輸出列表注冊(cè)表和文件系統(tǒng)API的差異，感興趣的用戶快來(lái)KK下載體驗(yàn)吧~

RootkitRevealer最新版特色

基于內(nèi)存的Rootkit基于內(nèi)存的Rootkit是沒有持久代碼的惡意軟件，因此無(wú)法在重新啟動(dòng)后幸免。

用戶模式Rootkits Rootkits

嘗試通過(guò)多種方法來(lái)逃避檢測(cè)。

例如，用戶模式rootkit可能會(huì)攔截對(duì)Windows FindFirstFile / FindNextFile API的所有調(diào)用

這些文件被文件系統(tǒng)探索實(shí)用程序(包括Explorer和命令提示符)用來(lái)枚舉文件系統(tǒng)目錄的內(nèi)容。

當(dāng)應(yīng)用程序執(zhí)行目錄列表時(shí)，如果該目錄列表返回包含標(biāo)識(shí)與rootkit關(guān)聯(lián)的文件的條目的結(jié)果

則rootkit會(huì)攔截并修改輸出以刪除條目。

Windows本機(jī)API充當(dāng)用戶模式客戶端和內(nèi)核模式服務(wù)之間的接口

更復(fù)雜的用戶模式rootkit攔截本機(jī)API的文件系統(tǒng)，注冊(cè)表和進(jìn)程枚舉功能。

這樣可以防止將Windows API枚舉結(jié)果與本機(jī)API枚舉返回的結(jié)果進(jìn)行比較的掃描程序進(jìn)行檢測(cè)。

內(nèi)核模式Rootkit

內(nèi)核模式Rootkit可以更加強(qiáng)大，因?yàn)樗鼈儾粌H可以攔截內(nèi)核模式下的本機(jī)API

而且還可以直接操作內(nèi)核模式數(shù)據(jù)結(jié)構(gòu)。

隱藏惡意軟件進(jìn)程存在的一種常用技術(shù)是從內(nèi)核的活動(dòng)進(jìn)程列表中刪除該進(jìn)程。

由于進(jìn)程管理API依賴于列表的內(nèi)容

因此惡意軟件進(jìn)程將不會(huì)顯示在任務(wù)管理器或Process Explorer之類的進(jìn)程管理工具中。

RootkitRevealer最新版功能

術(shù)語(yǔ)rootkit用于描述各種機(jī)制和技術(shù)，惡意軟件試圖從間諜軟件阻止程序

包括病毒，間諜軟件和特洛伊木馬程序

防病毒和系統(tǒng)管理實(shí)用程序中隱藏它們的存在。

根據(jù)惡意軟件在重啟后是否還可以生存以及是否以用戶模式或內(nèi)核模式執(zhí)行，rootkit有幾種分類。

永久性Rootkit

永久性Rootkit是與惡意軟件相關(guān)聯(lián)的一個(gè)，每次啟動(dòng)時(shí)都會(huì)激活。

由于此類惡意軟件包含必須在每個(gè)系統(tǒng)啟動(dòng)時(shí)或用戶登錄時(shí)自動(dòng)執(zhí)行的代碼

因此它們必須將代碼存儲(chǔ)在持久存儲(chǔ)中

例如注冊(cè)表或文件系統(tǒng)，并配置一種無(wú)需用戶干預(yù)即可執(zhí)行代碼的方法

RootkitRevealer最新版優(yōu)勢(shì)

RootkitRevealer的工作原理

由于持久性rootkit通過(guò)更改API結(jié)果來(lái)工作，因此使用API的系統(tǒng)視圖與存儲(chǔ)中的實(shí)際視圖不同

因此RootkitRevealer會(huì)將最高級(jí)別的系統(tǒng)掃描結(jié)果與最低級(jí)別的系統(tǒng)掃描結(jié)果進(jìn)行比較。

最高級(jí)別是Windows API，最低級(jí)別是文件系統(tǒng)卷或注冊(cè)表配置單元的原始內(nèi)容

配置單元文件是注冊(cè)表的磁盤存儲(chǔ)格式

RootkitRevealer會(huì)將Rootkit操縱Windows API或本機(jī)API從目錄列表中刪除它們的存在

都將視為Windows API返回的信息與所看到的差異在FAT或NTFS卷的文件系統(tǒng)結(jié)構(gòu)的原始掃描中。

Rootkit可以從RootkitRevealer隱藏嗎從理論上講，Rootkit可以從RootkitRevealer隱藏。

這樣做將需要攔截RootkitRevealer對(duì)注冊(cè)表配置單元數(shù)據(jù)或文件系統(tǒng)數(shù)據(jù)的讀取

并更改數(shù)據(jù)的內(nèi)容，以便不存在rootkit的注冊(cè)表數(shù)據(jù)或文件。

但是，這將需要一定程度的復(fù)雜性，這是迄今為止Rootkit所沒有的。

更改數(shù)據(jù)既需要對(duì)NTFS，F(xiàn)AT和Registry配置單元格式有深入的了解

還需要具有更改數(shù)據(jù)結(jié)構(gòu)以隱藏rootkit的能力

但不會(huì)導(dǎo)致不一致或無(wú)效的結(jié)構(gòu)或副作用差異。

由RootkitRevealer標(biāo)記。

有沒有一種可靠的方法可以知道Rootkit的存在

通常，不是從正在運(yùn)行的系統(tǒng)中。內(nèi)核模式的rootkit可以控制系統(tǒng)行為的任何方面

因此任何API返回的信息都可能受到損害。

包括注冊(cè)表配置單元的原始讀取和RootkitRevealer執(zhí)行的文件系統(tǒng)數(shù)據(jù)

雖然比較系統(tǒng)的聯(lián)機(jī)掃描和從安全環(huán)境(例如引導(dǎo)到基于CD的操作系統(tǒng)安裝)中進(jìn)行的脫機(jī)掃描更為可靠

但rootkit可以將此類工具作為目標(biāo)來(lái)逃避甚至對(duì)其進(jìn)行檢測(cè)。

最重要的是，永遠(yuǎn)不會(huì)有通用的rootkit掃描程序

但是功能最強(qiáng)大的掃描程序?qū)⑹桥c防病毒集成的在線/離線比較掃描程序。