RootkitRevealer 官方版 v1.71

      RootkitRevealer官方版是一款功能强大的rootkit检测软件。RootkitRevealer最新版简单实用，能够在各种Windows系统中运行，能够帮助用户成功检测许多持久性 rootkit。RootkitRevealer软件能够作为Windows服务运行的其自身随机命名副本执行扫描，高效又便捷。

软件介绍

      RootkitRevealer官方版是一款正在申请专利的多功能高级rootkit检测工具。它在Windows NT 4及更高版本上运行，其输出列出注册表和文件系统API差异，这些差异可能表明存在用户模式或内核模式rootkit。

软件功能

      术语rootkit用于描述各种机制和技术，恶意软件试图从间谍软件阻止程序

      包括病毒，间谍软件和特洛伊木马程序

      防病毒和系统管理实用程序中隐藏它们的存在。

      根据恶意软件在重启后是否还可以生存以及是否以用户模式或内核模式执行，rootkit有几种分类。

      永久性Rootkit

      永久性Rootkit是与恶意软件相关联的一个，每次启动时都会激活。

      由于此类恶意软件包含必须在每个系统启动时或用户登录时自动执行的代码

      因此它们必须将代码存储在持久存储中

      例如注册表或文件系统，并配置一种无需用户干预即可执行代码的方法。

软件特色

      基于内存的Rootkit基于内存的Rootkit是没有持久代码的恶意软件，因此无法在重新启动后幸免。

      用户模式Rootkits Rootkits

      尝试通过多种方法来逃避检测。

      例如，用户模式rootkit可能会拦截对Windows FindFirstFile / FindNextFile API的所有调用

      这些文件被文件系统探索实用程序(包括Explorer和命令提示符)用来枚举文件系统目录的内容。

      当应用程序执行目录列表时，如果该目录列表返回包含标识与rootkit关联的文件的条目的结果

      则rootkit会拦截并修改输出以删除条目。

      Windows本机API充当用户模式客户端和内核模式服务之间的接口

      更复杂的用户模式rootkit拦截本机API的文件系统，注册表和进程枚举功能。

      这样可以防止将Windows API枚举结果与本机API枚举返回的结果进行比较的扫描程序进行检测。

      内核模式Rootkit

      内核模式Rootkit可以更加强大，因为它们不仅可以拦截内核模式下的本机API

      而且还可以直接操作内核模式数据结构。

      隐藏恶意软件进程存在的一种常用技术是从内核的活动进程列表中删除该进程。

      由于进程管理API依赖于列表的内容

      因此恶意软件进程将不会显示在任务管理器或Process Explorer之类的进程管理工具中。

使用说明

      使用 RootkitRevealer

      RootkitRevealer 要求运行它的账户分配有备份文件和目录、加载驱动程序和执行卷维护任务(Windows XP 和更高)的权限。默认情况下，管理员组会被分配这些权限。 为了尽量减少误报，请在空闲系统上运行 RootkitRevealer。

      为了获得最佳结果，请退出所有应用程序，并在 RootkitRevealer 扫描过程中使系统保持空闲状态。

      手动扫描

      若要扫描系统，请在系统上启动它，然后按“扫描”按钮。 RootkitRevealer 会扫描系统，并在窗口底部的状态区域中报告其操作，在输出列表中指出差异。可以配置的选项：

      隐藏 NTFS 元数据文件：此选项默认处于打开状态，并且使 RootkitRevealer 不显示标准 NTFS 元数据文件，这些文件在 Windows API 中隐藏。

      扫描注册表：此选项默认处于打开状态。 取消选择它后，RootkitRevealer 将不执行注册表扫描。

      解释输出

      这是 RootkitRevealer 检测是否存在常用 HackerDefender rootkit 的屏幕截图。 注册表项差异表明，存储 HackerDefender 的设备驱动程序和服务设置的注册表项对 Windows API 不可见，但存在于注册表配置单元数据的原始扫描中。 同样，与 HackerDefender 关联的文件对 Windows API 目录扫描不可见，但存在于原始文件系统数据的扫描中。

      应检查所有差异，并确定它们表明的存在 rootkit 的可能性。 遗憾的是，无法根据输出确定是否存在 rootkit，但应检查所有报告的差异，以确保它们可解释。 如果你确定已安装 rootkit，请在网上搜索删除说明。 如果不确定如何删除 rootkit，则应重新格式化系统硬盘并重新安装 Windows。

      除了下面有关可能的 RootkitRevealer 差异的信息外，Sysinternals 的 RootkitRevealer 论坛还讨论了检测到的 rootkit 和特定的误报。

      在 Windows API 中隐藏

      这些差异是大多数 rootkit 所表现出的差异：但是，如果你尚未选中“隐藏 NTFS 元数据文件”，则你应该会在任何 NTFS 卷上看到许多此类条目，因为 NTFS 会向 Windows API 隐藏其元数据文件(如 $MFT 和 $Secure)。 NTFS 卷上存在的元数据文件因 NTFS 版本和卷上已启用的 NTFS 功能而异。 还有一些防病毒产品(如卡巴斯基防病毒)使用 rootkit 技术隐藏存储在 NTFS 备用数据流中的数据。 如果运行的是此类病毒扫描程序，则你会在每个 NTFS 文件上看到备用数据流的“在 Windows API 中隐藏”的差异。 RootkitRevealer 不支持输出筛选器，因为 rootkit 可以利用任何筛选。 最后，如果在扫描期间删除了文件，则也可能看到此差异。

      这是在 Windows Server 2003 中定义的 NTFS 元数据文件的列表：

      $AttrDef

      $BadClus

      $BadClus:$Bad

      $BitMap

      $Boot

      $LogFile

      $Mft

      $MftMirr

      $Secure

      $UpCase

      $Volume

      $Extend

      $Extend$Reparse

      $Extend$ObjId

      $Extend$UsnJrnl

      $Extend$UsnJrnl:$Max

      $Extend$Quota