RootkitRevealer
adalah utilitas canggih deteksi rootkit . Ini berjalan pada Windows NT 4 dan
lebih tinggi dan daftar output Registry dan file sistem API perbedaan yang
mungkin menunjukkan adanya user -mode atau kernel -mode rootkit .
RootkitRevealer berhasil mendeteksi rootkit banyak gigih termasuk AFX , Vanquish dan HackerDefender (catatan : RootkitRevealer tidak dimaksudkan untuk mendeteksi rootkit seperti Fu yang tidak berusaha untuk menyembunyikan file atau kunci registri ) .
Sejak rootkit terus-menerus bekerja dengan mengubah hasil API sehingga pandangan sistem yang menggunakan API berbeda dari tampilan yang sebenarnya di gudang, RootkitRevealer membandingkan hasil scan sistem pada tingkat tertinggi dengan bahwa pada tingkat terendah . Level tertinggi adalah API Windows dan tingkat terendah adalah isi baku dari volume sistem file atau Registry sarang ( file sarang adalah format penyimpanan on- disk Registry ) .
Dengan demikian , rootkit , apakah pengguna modus atau mode kernel , yang memanipulasi API Windows atau API asli untuk menghapus kehadiran mereka dari daftar direktori , misalnya , akan dilihat oleh RootkitRevealer sebagai ketidaksesuaian antara informasi yang dikembalikan oleh API Windows dan yang terlihat di scan mentah struktur FAT atau NTFS Volume itu sistem file .
RootkitRevealer berhasil mendeteksi rootkit banyak gigih termasuk AFX , Vanquish dan HackerDefender (catatan : RootkitRevealer tidak dimaksudkan untuk mendeteksi rootkit seperti Fu yang tidak berusaha untuk menyembunyikan file atau kunci registri ) .
Sejak rootkit terus-menerus bekerja dengan mengubah hasil API sehingga pandangan sistem yang menggunakan API berbeda dari tampilan yang sebenarnya di gudang, RootkitRevealer membandingkan hasil scan sistem pada tingkat tertinggi dengan bahwa pada tingkat terendah . Level tertinggi adalah API Windows dan tingkat terendah adalah isi baku dari volume sistem file atau Registry sarang ( file sarang adalah format penyimpanan on- disk Registry ) .
Dengan demikian , rootkit , apakah pengguna modus atau mode kernel , yang memanipulasi API Windows atau API asli untuk menghapus kehadiran mereka dari daftar direktori , misalnya , akan dilihat oleh RootkitRevealer sebagai ketidaksesuaian antara informasi yang dikembalikan oleh API Windows dan yang terlihat di scan mentah struktur FAT atau NTFS Volume itu sistem file .
0 komentar:
Posting Komentar