RootkitRevealer - пошук руткітів
Rootkit-засіб - це набір програмних інстр-рументов, які встановлює порушник на комп'ютер-жертву, причому жертва зазвичай нічого про це не підозрює. Зазвичай хакерам вдається устано-вити rootkit-засоби, використовуючи слабкості «незалатанних» (unpatched) комп'ютерних систем, або навіть повністю укріплених систем, на яких рабо-тануть потенційно вразливі служби (такі як Microsoft Exchange, SQL Server або Active Directory) без захисту програмного або апаратного меж-мережевого фільтра (firewall). Rootkit-засоби є особливо підступними, тому що проектуються так, щоб про їх інсталяції на комп'ютер поль-зователя, той нічого не знав. Методи, які використовує rootkit-засіб, щоб приховати себе від користувача можуть також зробити його невиявний традиційними методами, наприклад, антивірусними або навіть антишпигун-ськими утилітами.
Сканування комп'ютера на наявність rootkit-засобів
- створення резервних копій каталогів і файлів;
- завантаження драйверів;
- виконання завдань обслуговування томи (Windows ХР і більш пізні версії).
Необхідно запускати RootkitRevealer GUI з локальної консолі. З нього можна виконувати сканування локального комп'ютера. За замовчуванням ус-новлений наступні необов'язкові (optional) параметри сканування:
- Hide NTFS Metadata Files (Приховувати файли метаданих NTFS). Цей параметр вказує програмі RootkitRevealer, що не потрібно виводити стандартні файли метаданих NTFS, так як ці файли є за замовчуванням прихованими від Windows API.
- Scan Registry (Сканувати реєстр). Цей параметр інформує Rootkit- Revealer, про те, що необхідно, крім файлової системи, просканує-вать реєстр на наявність будь-яких аномалій.
Для виконання сканування локального жорсткого диска, просто клац-ните по File | Scan.