• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

RootkitRevealer

akok

Команда форума
Администратор
Сообщения
14,011
Симпатии
11,723
#1
Введение
Программа RootkitRevelader является программой с расширенными возможностями для обнаружения rootkit-программ. Она работает под управлением ОС Windows NT 4 и более поздних версий. Программа выводит список несоответствий результатов работы API-интерфейсов файловой системы и реестра реальным данным. Эти несоответствия могут означать наличие rootkit-программы, работающей в пользовательском режиме или в режиме ядра. Программа RootkitRevealer успешно обнаруживает все постоянные rootkit-программы, включая такие, как AFX, Vanquish и HackerDefenter. Обратите внимание, что RootkitRevealder не предназначена для определения вредоносных программ вроде программы Fu, которые не пытаются скрывать свои файлы и разделы реестра. Пожалуйста, сообщите нам, если вы используете эту программу для обнаружения присутствия rootkit-программ.

Как работать
Для выполнения сканирования запустите программу RootkitRevealer и нажмите кнопку “Начать сканирование”. Программа выполнит сканирование системы. Во время сканирования действия программы будут отображаться на панели состояния внизу окна программы, а обнаруженные несоответствия в списке результатов. Ниже приведен список доступных для настройки параметров:

Hide NTFS Metadata Files (скрывать файлы метаданных NTFS): программа не отобразит стандартные файлы метаданных NTFS, которые скрыты от интерфейса Windows API. Этот параметр по умолчанию активен;
Scan Registry (сканировать реестр): этот параметр по умолчанию активен. Если его деактивировать, программа не будет производить сканирование реестра.

Запуск автоматического сканирования
Программа RootkitRevealer позволяет настроить некоторые параметры автоматического сканирования.

Синтаксис: rootkitrevealer [-a [-c] [-m] [-r] файл_результатов]
-a

Выполнить автоматическое сканирование и выйти после завершения сканирования.
-c
Вывести данные в формате CSV.
-m
Показать файлы метаданных NTFS.
-r
Не выполнять сканирование реестра.

Примечание: файл с результатами сканирования должен располагаться на локальном томе.

Если указать параметр -c, программа не будет отображать состояние выполнения сканирования, а найденные несоответствия будут выведены в CSV-файл для упрощения последующего импортирования результатов сканирования в базу данных. Для выполнения сканирования на удаленных системах можно воспользоваться служебной программой Sysinternals PsExec. Ниже приведен пример команды для осуществления такого сканирования:

psexec \\remote -c rootkitrevealer.exe -a c:\windows\system32\rootkit.log

Официальная страница

Скачать