RootkitRevealer

Тема в разделе "Антируткиты", создана пользователем akok, 29 дек 2014.

  1. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Введение
    Программа RootkitRevelader является программой с расширенными возможностями для обнаружения rootkit-программ. Она работает под управлением ОС Windows NT 4 и более поздних версий. Программа выводит список несоответствий результатов работы API-интерфейсов файловой системы и реестра реальным данным. Эти несоответствия могут означать наличие rootkit-программы, работающей в пользовательском режиме или в режиме ядра. Программа RootkitRevealer успешно обнаруживает все постоянные rootkit-программы, включая такие, как AFX, Vanquish и HackerDefenter. Обратите внимание, что RootkitRevealder не предназначена для определения вредоносных программ вроде программы Fu, которые не пытаются скрывать свои файлы и разделы реестра. Пожалуйста, сообщите нам, если вы используете эту программу для обнаружения присутствия rootkit-программ.

    Как работать
    Для выполнения сканирования запустите программу RootkitRevealer и нажмите кнопку “Начать сканирование”. Программа выполнит сканирование системы. Во время сканирования действия программы будут отображаться на панели состояния внизу окна программы, а обнаруженные несоответствия в списке результатов. Ниже приведен список доступных для настройки параметров:

    Hide NTFS Metadata Files (скрывать файлы метаданных NTFS): программа не отобразит стандартные файлы метаданных NTFS, которые скрыты от интерфейса Windows API. Этот параметр по умолчанию активен;
    Scan Registry (сканировать реестр): этот параметр по умолчанию активен. Если его деактивировать, программа не будет производить сканирование реестра.

    Запуск автоматического сканирования
    Программа RootkitRevealer позволяет настроить некоторые параметры автоматического сканирования.

    Синтаксис: rootkitrevealer [-a [-c] [-m] [-r] файл_результатов]
    -a

    Выполнить автоматическое сканирование и выйти после завершения сканирования.
    -c
    Вывести данные в формате CSV.
    -m
    Показать файлы метаданных NTFS.
    -r
    Не выполнять сканирование реестра.

    Примечание: файл с результатами сканирования должен располагаться на локальном томе.

    Если указать параметр -c, программа не будет отображать состояние выполнения сканирования, а найденные несоответствия будут выведены в CSV-файл для упрощения последующего импортирования результатов сканирования в базу данных. Для выполнения сканирования на удаленных системах можно воспользоваться служебной программой Sysinternals PsExec. Ниже приведен пример команды для осуществления такого сканирования:

    psexec \\remote -c rootkitrevealer.exe -a c:\windows\system32\rootkit.log

    Официальная страница

    Скачать
     
    Dragokas, orderman и ScriptMakeR нравится это.

Поделиться этой страницей