RootkitRevealer最新版是一款功能强大好用的rootkit检测软件,RootkitRevealer最新版能够在Windows系统中进行简单的运行,能够帮助用户们检测rootkit,你可以在RootkitRevealer最新版看到输出列表注册表和文件系统API的差异,感兴趣的用户快来KK下载体验吧~
![](../uploadfile/2023/1220/20231220031503658.jpg)
RootkitRevealer最新版特色
基于内存的Rootkit基于内存的Rootkit是没有持久代码的恶意软件,因此无法在重新启动后幸免。
用户模式Rootkits Rootkits
尝试通过多种方法来逃避检测。
例如,用户模式rootkit可能会拦截对Windows FindFirstFile / FindNextFile API的所有调用
这些文件被文件系统探索实用程序(包括Explorer和命令提示符)用来枚举文件系统目录的内容。
当应用程序执行目录列表时,如果该目录列表返回包含标识与rootkit关联的文件的条目的结果
则rootkit会拦截并修改输出以删除条目。
Windows本机API充当用户模式客户端和内核模式服务之间的接口
更复杂的用户模式rootkit拦截本机API的文件系统,注册表和进程枚举功能。
这样可以防止将Windows API枚举结果与本机API枚举返回的结果进行比较的扫描程序进行检测。
内核模式Rootkit
内核模式Rootkit可以更加强大,因为它们不仅可以拦截内核模式下的本机API
而且还可以直接操作内核模式数据结构。
隐藏恶意软件进程存在的一种常用技术是从内核的活动进程列表中删除该进程。
由于进程管理API依赖于列表的内容
因此恶意软件进程将不会显示在任务管理器或Process Explorer之类的进程管理工具中。
![](../uploadfile/2023/1220/20231220031452483.jpg)
RootkitRevealer最新版功能
术语rootkit用于描述各种机制和技术,恶意软件试图从间谍软件阻止程序
包括病毒,间谍软件和特洛伊木马程序
防病毒和系统管理实用程序中隐藏它们的存在。
根据恶意软件在重启后是否还可以生存以及是否以用户模式或内核模式执行,rootkit有几种分类。
永久性Rootkit
永久性Rootkit是与恶意软件相关联的一个,每次启动时都会激活。
由于此类恶意软件包含必须在每个系统启动时或用户登录时自动执行的代码
因此它们必须将代码存储在持久存储中
例如注册表或文件系统,并配置一种无需用户干预即可执行代码的方法
![](../uploadfile/2023/1220/20231220031440615.gif)
RootkitRevealer最新版优势
RootkitRevealer的工作原理
由于持久性rootkit通过更改API结果来工作,因此使用API的系统视图与存储中的实际视图不同
因此RootkitRevealer会将最高级别的系统扫描结果与最低级别的系统扫描结果进行比较。
最高级别是Windows API,最低级别是文件系统卷或注册表配置单元的原始内容
配置单元文件是注册表的磁盘存储格式
RootkitRevealer会将Rootkit操纵Windows API或本机API从目录列表中删除它们的存在
都将视为Windows API返回的信息与所看到的差异在FAT或NTFS卷的文件系统结构的原始扫描中。
Rootkit可以从RootkitRevealer隐藏吗从理论上讲,Rootkit可以从RootkitRevealer隐藏。
这样做将需要拦截RootkitRevealer对注册表配置单元数据或文件系统数据的读取
并更改数据的内容,以便不存在rootkit的注册表数据或文件。
但是,这将需要一定程度的复杂性,这是迄今为止Rootkit所没有的。
更改数据既需要对NTFS,FAT和Registry配置单元格式有深入的了解
还需要具有更改数据结构以隐藏rootkit的能力
但不会导致不一致或无效的结构或副作用差异。
由RootkitRevealer标记。
有没有一种可靠的方法可以知道Rootkit的存在
通常,不是从正在运行的系统中。内核模式的rootkit可以控制系统行为的任何方面
因此任何API返回的信息都可能受到损害。
包括注册表配置单元的原始读取和RootkitRevealer执行的文件系统数据
虽然比较系统的联机扫描和从安全环境(例如引导到基于CD的操作系统安装)中进行的脱机扫描更为可靠
但rootkit可以将此类工具作为目标来逃避甚至对其进行检测。
最重要的是,永远不会有通用的rootkit扫描程序
但是功能最强大的扫描程序将是与防病毒集成的在线/离线比较扫描程序。