RootkitRevealer 1.71

RootkitRevealer 1.71 позволяет сканировать реестр и файловую систему и находить в них подозрительные места. Утилита предназначена для поиска rootkit'ов.

Под термином "rootkit" обычно понимают программу, которая внедряется в систему и перехватывает системные функции или изменяет библиотеки. Перехват и модификация низкоуровневых API-функций позволяет решить несколько задач:

• маскировка присутствия вредоносных программ в системе (запущенные процессы, открытые порты TCP/UDP, ключи реестра, файлы на диске).
• защита от обнаружения и удаления антивирусным программным обеспечением и утилитами, предназначенными для исследования системы (блокировка модификации определенных ключей реестра, защита файлов от открытия на чтение и удаления).
• слежение за активностью пользователя.

RootkitRevealer отличается от обычных антивирусных программ по принципу поиска. RootkitRevealer просматривает ключи реестра, а не сканирует файлы, таким образом любая вредоносная программа, вносящая изменения в реестр, теоретически может быть обнаружена с помощью RootkitRevealer.

Интерфейс программы максимально прост, состоит из единственной кнопки "Scan" и окна результатов. При использовании программы следует учесть, что в ключах реестра HKLM\SECURITY содержатся параметры безопасности и ошибка "... contains embedded nulls" является вполне естественной для данного раздела реестра. В архиве с программой содержится подробная справка, правда, на английском языке. При обработке результатов сканирования обратите внимание на обнаруженные ошибки и по возможности проверьте каждую из них. На сайте www.rootkit.com можно получить информацию о некоторых программах, обнаруживаемых утилитой RootkitRevealer.

Утилита RootkitRevealer может быть вызвана из командной строки. Это дает возможность автоматизации процесса анализа системы. Для вызова из командной строки следует набрать "rootkitrevealer", затем в той же строке параметры и имя выходного файла. Значения параметров:

• -a (автоматически исследовать систему и затем закрыть программу)
• -с (осуществлять вывод формате CSV, значения разделенные запятыми)
• -m (отображать файлы данных NTFS)
• -r (не исследовать реестр)

В целом, RootkitRevealer, несмотря на свою простоту, решает серьезные проблемы и является незаменимым инструментом диагностики системы. При грамотном применении программа способна определить нежелательную активность на любой стадии, и тем самым увеличить безопасность системы в целом.