RootkitRevealer

RootkitRevelaver является программой с расширенными возможностями для обнаружения rootkit-программ. Она выводит список несоответствий результатов работы API-интерфейсов файловой системы и реестра реальным данным. Эти несоответствия могут означать наличие rootkit-программы, работающей в пользовательском режиме или в режиме ядра. Программа RootkitRevealer успешно обнаруживает все постоянные rootkit-программы, включая такие, как AFX, Vanquish и HackerDefenter. Обратите внимание, что RootkitRevealver не предназначена для определения вредоносных программ вроде программы Fu, которые не пытаются скрывать свои файлы и разделы реестра.

Для работы программы RootkitRevelaver требуется, чтобы учетной записи, с правами которой выполняется программа, были назначены привилегии резервного копирования файлов и папок, загрузки драйверов и выполнения задач обслуживания томов (в ОС Windows XP и более поздних версиях). По умолчанию члены группы “Администраторы” обладают этими привилегиями. Для уменьшения количества ошибочных результатов запускайте программу RootkitRevealer на простаивающей системе.

Для выполнения сканирования запустите программу RootkitRevealer и нажмите кнопку Scan (“Начать сканирование”). Программа выполнит сканирование системы. Во время сканирования действия программы будут отображаться на панели состояния внизу окна программы, а обнаруженные несоответствия в списке результатов. Ниже приведен список доступных для настройки параметров (меню Options):

•	Hide NTFS Metadata Files (скрывать файлы метаданных NTFS): программа не отобразит стандартные файлы метаданных NTFS, которые скрыты от интерфейса Windows API. Этот параметр по умолчанию активен;
•	Scan Registry (сканировать реестр): этот параметр по умолчанию активен. Если его деактивировать, программа не будет производить сканирование реестра.

Программа выводит имя объекта, временную метку, размер объекта и причину, по которой объекту присвоили несоответствие.

С отображением файлов метаданных разделов NTFS:

Метаданные относятся к несоответствиям, так как они скрыты от команд Windows API.

Необходимо изучить все несоответствия и определить вероятность того, что то или иное несоответствие является знаком присутствия rootkit-программы. К сожалению, не существует гарантированного способа указать на наличие или отсутствие таких программ, основываясь на данных результата сканирования. Поэтому все перечисленные несоответствия необходимо проанализировать, чтобы убедиться в объяснимости причин их наличия.