Обзоры Антируткиты: PCHunter (ex-XueTr) V1.57

[Severnyj]

XueTr-антируткит - это бесплатный и удобный инструмент для Windows, с мощными возможностями для просмотра и манипуляции структурой ядра. Программа предлагает Вам возможность обнаружения, анализа и восстановления различных модификаций ядра с наивысшими правами. С помощью данного инструменты Вы сможете легко определить и нейтрализовать скрытые от обычных антивирусов вредоносные программы.


XueTr в настоящее время работает под следующими ОС (только 32-разрядных версий):

• Windows 2000 SP4
• Windows XP (без SP, SP1, SP2, SP3)
• Windows Server 2003 (без SP, SP1, SP2, R2)
• Windows Vista (без SP, SP1, SP2)
• Windows Server 2008 (без SP, SP1)
• Windows 7 (без SP, SP1)

В настоящее время доступны следующие функции:

• Менеджер процессов
  • Просмотр системных процессов и потоков, основная информация.
  • Обнаружение скрытых процессов, потоков, модулей.
  • Завершение, приостановка и возобновление процессов и потоков.
  • Просмотр и управление процессами, окнами и областями памяти.
  
  
• Обзор модулей ядра
  • Отображение информации о модулях ядра, включая базовые образы, размер, объекты драйверов, пути, имена сервисов и их порядок загрузки.
  • Обнаружение скрытых модулей ядра.
  • Выгрузка модуля ядра (опасно, на Windows 7 не тестировалось).
  • Дамп памяти ядра.
  • Отображение и удаление служебной информации системных драйверов.
  
  
• Детектор перехватов
  • Просмотр и восстановление перехватов SSDT, Shadow SSDT, SYSENTER и int2e.
  • Просмотр и восстановление перехватов FSD и keyboard disptach.
  • Просмотр и восстановление перехватов кода ядра, в том числе kernel inline перехваты, патчи, IAT и EAT перехваты.
  • Просмотр и восстановление перехватов пользовательского режима, в том числе встроенные перехваты, патчи, IAT и EAT перехваты.
  • Просмотр и восстановление перехватов сообщений (как глобальных, так и локальных).
  • Просмотр и восстановление перехватов ObjectType ядра.
  • Отображение прерываний дескрипторной таблицы (IDT).
  
  
• Система просмотра обратных вызовов
  • Просмотр и удаление нотификаций ядра (Process/Thread/Image/Registry/Lego/Shutdown/Bugcheck/FileSystem/Logon).
  
  
• Обзор сети
  • Просмотр текущих сетевых подключений, в том числе локальных и удаленных адресов и состояния соединения TCP.
  • Просмотр и удаление IE плагинов и контекстного меню.
  • Просмотр и восстановление перехватов отправки TCPIP.
  • Просмотр Winsock услуг (SPI).
  • Просмотр и редактирование хост-файла.
  
  
• Обзор фильтров
  • Просмотр и удаление фильтров для распространенных устройств, включая диски, разделы, клавиатуры и сетевые устройства.
  
  
• Редактор реестра
  • Просмотр и редактирование системного реестра.
  • Обнаружение скрытых записей реестра с использованием анализа кустов живого реестра.
  
  
• Файловый менеджер
  • Обнаружение скрытых файлов с использованием таких методов, как анализ диска и установленного драйвера.
  • Просмотр и удаление заблокированных файлов и папок.
  • Просмотр основной информации о файлах, в том числе альтернативных потоках данных NTFS.
  
  
• Менеджер автозапуска
  • Отображение и удаление общих записей автозапуска.
  
  
• Менеджер сервисов
  • Отображение информации о Win32-сервисах (для модулей нулевого колца, эта информация отображена на вкладке Обзор модулей ядра).
  • Изменение статусов и конфигурации служб.
  
  
• DPC-Таймер
  • Перечисление и удаление объектов DPC-таймера.
  
  
• Разное
  • Просмотр и корректировка ассоциаций типов файлов.
  • Просмотр и восстановление захвата изображений.
  
  
• Настройки
  • Опция защиты от создания процессов, потоков, внедрения модулей и установки перехватов сообщений.
  • Опция защиты от создания файлов и ключей реестра.
  • Опция защиты от приостановки, выхода из системы, выключения и перезагрузки.
  • Опция защиты от блокировки рабочей станции и переключения рабочих столов.
  • Опция защиты от изменения системного времени.

Внимание: Используйте программу на свой страх и риск. Эта программа распространяется в надежде, что она будет полезной, но БЕЗ КАКИХ-ЛИБО ГАРАНТИЙ.

• Скачать последнюю версию.

Источник - readme-файл из каталога с программой.

 

[Severnyj]

PCHunter - ребрендинг и новая версия известного антируткита

Автор антируткита Linxer выпустил новую версию своего антируткита под новым названием PCHunter, отныне инструмент поддерживает следующие операционные системы:

• 32-битные - все от Windows 2000 до Windows 8
• 64-битные - Windows 7 и Windows 8

Соответственно в архиве теперь присутствует 2 исполняемых файла: PCHunter32.exe и PCHunter64.exe, предназначенных для запуска на ОС соответствующей разрядности.

​

Функционал программы включает в себя множество возможностей:

1. Просмотр процессов, потоков, модулей процессов, окон процессов, дамп памяти процесса, выгрузка процессов, потоков, модулей.
2. Обновленный драйвер ядра
3. Посмотр SSDT, Shadow SSDT, FSD, KBD, TCPIP, Classpnp, ATAPI, ACPI, SCSI, IDT, GDT, возможность обнаружения и восстановления SSDT перехватов.
4. CreateProcess, CreateThread, LoadImage, CmpCallback, BugCheckCallback, Shutdown, Lego.
5. Port View - Windows 2000 не поддерживается
6. Просмотр Message Hooks
7. Редактор реестра
8. Файловый менеджер, поддерживает основные операции с файлами
9. Просмотр и редактирование IE-BHO, SPI, элементов автозагрузки, серсисов и служб, hosts-файла, подмены ассоциации файлов, системных правил брандмауэра, IME
10. Обнаружение и восстановление ObjectType Hook
11. Обнаружение и удаление DPC таймеров
12. Обнаружение и удаление MBR-Rootkit
13. Обнаружение hijack объектов ядра

Скачать можно здесь

 

[Genrync]

в связи с нерабочим состоянием сайта www.xuetr.com, размещаю PC Hunter v1.0 (2013.1.23) based XueTr здесь.

 

[regist]

в связи с нерабочим состоянием сайта www.xuetr.com,

у меня работает :unknw:

 

[Genrync]

regist,
Странно, сегодня да. Вчера когда свой архив обновлял пол инета перерыл чтоб найти. Все ссылки вели на сайт разработчика, а на нем 2 строчки на "китайском" и всё.

 

[regist]

связи с нерабочим состоянием сайта www.xuetr.com, размещаю PC Hunter v1.0 (2013.1.23) based XueTr здесь.

если сайт снова не будет работать, скачать можно с нашего зеркала.
Инструкция по созданию лога здесь.

 

[Alien]

Что если программа не запустилась, и как выгрузить её из процессов?

 

[akok]

Перезапустить систему?

 

[Sandor]

@Alien, если она не запустилась, как же тогда попала в процессы? Или я что-то не так понял...

 

[Alien]

Перезапустить систему?

Автоматически стартует. Процесс не убиваем. Ветки автозапуска, ярлыков в реестре нет. Переименование файла не помогает, удаление не возможно.

если она не запустилась, как же тогда попала в процессы? Или я что-то не так понял...

Не знаю сидит в процессах, жрёт 12%ЦП, из-за этого система охлаждения (куллер) работает так как-будто 100% под нагрузкой...
Программа не корректно закрылась, при повторном запуске говорит что процесс запущен.

 

[Sandor]

Попробуйте OTclean

В безопасном режиме тоже есть в процессах?

 

[Alien]

безопасном режиме

Нет не было. Удалил файл в безопасном режиме.