Поиск руткитов. Программа RootkitRevealer

Поиск руткитов. Программа RootkitRevealer

Поиск руткитовРуткиты, известные своей способностью скрывать свое присутствие в операционной системе, а также маскировать деятельность других вредоносных приложений являются одними их самых трудно обнаруживаемых вирусов.

Как правило, руткит ничем не проявляет себя, компьютер работает стабильно и без каких либо признаков заражения, однако руткит является той лазейкой, через которую незамеченными стандартным антивирусом в систему могут проникнуть любой зловред.

Вот почему так важно использование наряду с антивирусными программами дополнительных средств безопасности, что бы производить и поиск руткитов .

Одним из таких инструментов является RootkitRevealer – маленькая утилита, входящая в состав пакета Sysinternals Suite. Даже самый продвинутый руткит не может не оставить хотя бы едва заметный след в системе в виде ключей реестра или файлов на жестком диске.

Во время сканирования RootkitRevealer обрабатывает файлы, извлекаемые путем анализа системного реестра и сравнивает полученные данные с результатами работы API-интерфейсов файловой системы.



Обнаруженные несоответствия могут свидетельствовать о присутствии в системе вредоносных программ – руткитов.

Программа RootkitRevealer
Утилита способна отыскивать большинство постоянных руткитов, включая такие как HackerDefenter, AFX и Vanquish. RootkitRevealerм не требует инсталляции, имеет предельно простой интерфейс и самый минимум функций.

Но не следует исключать и того, что некоторые типы руткитов RootkitRevealer все же может пропустить, ведь вирусописатели тоже не бездействуют и все время придумывают все новые способы обхода защиты.

Поиск руткитов

При первом запуске программка предложит согласиться с условиями использования, далее откроется маленькое окошко, в котором нужно просто нажать кнопку «Scan». В тот момент, когда RootkitRevealer будет производить сканирование реестра, компьютер может временно перестать откликаться на команды.

По умолчанию, согласно настройкам метаданных NTFS не производится. Если вы хотите проверить эту область, в пункте меню «Options» → «Hide standard NTFS Metadata files» следует снять галочку. После того как утилита проведет сканирование, список возможных проблем будет выведен в главном окне.

Как таковая, функция удаления файлов или ключей реестра в программе отсутствует. RootkitRevealer просто информирует пользователя, показывая причину, по которой элемент попал в список «подозреваемых», размер файла и полный путь к нему от корневой директории.

Не смотря на очевидную простоту этого маленького приложения, не стоит спешить удалять все обнаруженные утилитой элементы. И вообще, работать с RootkitRevealer рекомендуется более опытным пользователям, имеющие четкие понятия о реестре и файловой системе.

Следует учесть и то, что как и всякая другая антивирусная программа, утилита RootkitRevealer может допускать ошибки и выдавать неверные результаты. В связи с этим запускать RootkitRevelaer нужно только с правами администратора и на простаивающей системе, то есть все пользовательские приложения должны быть закрыты.

Продолжение обзора утилит из пакета Sysinternals Suite буду продолжать, поэтому если интересно рекомендую подписаться на обновления


Понравилась статья на блоге? Поделись информацией с другими:

Оставить свой комментарий

Поиск
Помочь деньгами

ВКонтакте

Посетите наши страницы в социальных сетях!

ВКонтакте.      Facebook.      Twitter.      YouTube.      Одноклассники.      RSS.
Вверх
© 2017    Копирование материалов сайта разрешено только при наличии активной ссылки   //    Василий Чужойon Google+