chuzhoy007.ru
Назад

Поиск руткитов. Программа RootkitRevealer

Опубликовано: 08.04.2012
Время на чтение: 4 мин
0
16

Поиск руткитовРуткиты, известные своей способностью скрывать свое присутствие в операционной системе, а также маскировать деятельность других вредоносных приложений являются одними их самых трудно обнаруживаемых вирусов.

Как правило, руткит ничем не проявляет себя, компьютер работает стабильно и без каких либо признаков заражения, однако руткит является той лазейкой, через которую незамеченными стандартным антивирусом в систему могут проникнуть любой зловред.



Вот почему так важно использование наряду с антивирусными программами дополнительных средств безопасности, что бы производить и поиск руткитов .

Одним из таких инструментов является RootkitRevealer – маленькая утилита, входящая в состав пакета Sysinternals Suite. Даже самый продвинутый руткит не может не оставить хотя бы едва заметный след в системе в виде ключей реестра или файлов на жестком диске.

Во время сканирования RootkitRevealer обрабатывает файлы, извлекаемые путем анализа системного реестра и сравнивает полученные данные с результатами работы API-интерфейсов файловой системы.

Обнаруженные несоответствия могут свидетельствовать о присутствии в системе вредоносных программ – руткитов.

Программа RootkitRevealer
Утилита способна отыскивать большинство постоянных руткитов, включая такие как HackerDefenter, AFX и Vanquish. RootkitRevealerм не требует инсталляции, имеет предельно простой интерфейс и самый минимум функций.

Но не следует исключать и того, что некоторые типы руткитов RootkitRevealer все же может пропустить, ведь вирусописатели тоже не бездействуют и все время придумывают все новые способы обхода защиты.

Поиск руткитов

При первом запуске программка предложит согласиться с условиями использования, далее откроется маленькое окошко, в котором нужно просто нажать кнопку "Scan". В тот момент, когда RootkitRevealer будет производить сканирование реестра, компьютер может временно перестать откликаться на команды.

По умолчанию, согласно настройкам метаданных NTFS не производится. Если вы хотите проверить эту область, в пункте меню "Options" → "Hide standard NTFS Metadata files" следует снять галочку. После того как утилита проведет сканирование, список возможных проблем будет выведен в главном окне.

Как таковая, функция удаления файлов или ключей реестра в программе отсутствует. RootkitRevealer просто информирует пользователя, показывая причину, по которой элемент попал в список "подозреваемых", размер файла и полный путь к нему от корневой директории.

Не смотря на очевидную простоту этого маленького приложения, не стоит спешить удалять все обнаруженные утилитой элементы. И вообще, работать с RootkitRevealer рекомендуется более опытным пользователям, имеющие четкие понятия о реестре и файловой системе.

Следует учесть и то, что как и всякая другая антивирусная программа, утилита RootkitRevealer может допускать ошибки и выдавать неверные результаты. В связи с этим запускать RootkitRevelaer нужно только с правами администратора и на простаивающей системе, то есть все пользовательские приложения должны быть закрыты.

Продолжение обзора утилит из пакета Sysinternals Suite буду продолжать, поэтому если интересно рекомендую подписаться на обновления

, , ,
chuzhoy007
Автор:
Chuzhoy
Поделиться
Похожие записи
Комментарии:
Комментариев еще нет. Будь первым!
Имя
Укажите своё имя и фамилию
E-mail
Без СПАМа, обещаем
Текст сообщения
Отправляя данную форму, вы соглашаетесь с политикой конфиденциальности и правилами нашего сайта.