下載地址:/downinfo/656.html
Rootkit壹般認為是壹種系統間諜、病毒、木馬軟件的集合,具有隱藏性非常好等特點,黑客可用來獲取計算機的未經授權的遠程訪問權限,並發動其它攻擊,能給用戶帶來嚴重安全威脅。
RootkitRevealer可以用來檢測r系統Windows系統裏邊是否運行著Rootkit,它通過分析註冊表和系統API文件差異,能檢測出來www.rootkit.com發布的所有rootkit,包括AFX、Vanquish、HackerDefender 等(註意篟ootkitRevealer是不能夠檢測那些沒有隱藏文件和註冊表的Rootkit,比如FU_Rootkit)。
RootkitRevealer內包含GUI和命令行兩個版本,其中命令行版本配合PsExec 可以執行遠程掃描。首先要註意的是運行RootkitRevealer需要Administrator權限。RootkitRevealer支持手工掃描和自動掃描2種方式。
RootkitRevealer的使用:
(1)手工掃描
RootkitRevealer使用比較簡單,直接點擊scan就可以掃描系統啦。RootkitRevealer提供了以下2個選項:
隱藏NTFS中的元數據(Hide standard NTFS Metadata files): 該選項是默認選擇的, RootkitRevealer默認不會顯示NTFS中的元數據(元數據是存儲在卷上支持文件系統格式管理的數據。它不能被應用程序訪問,只能為系統提供服務)。
掃描註冊表(Scan Registry):該選項是默認是選擇的,如果沒有選擇,RootkitRevealer將略過註冊表掃描。
(2)自動掃描
命令行的RootkitRevealer支持多種選項的自動掃描,使用方法如下:
rootkitrevealer [-a [-c] [-m] [-r] outputfile]
-a 自動掃描,掃描完畢後程序結束
-c 以CSV格式輸出
-m 顯示NTFS中的元數據
-r 略過註冊表掃描
RootkitRevealer支持掃描遠程主機,不過需要與Sysinternals的另外壹個工具psexec配合使用,命令行如下:
psexec \\remote -c rootkitrealer.exe -a c:\windows\system32\rootkit.log
利用RootkitRevealer我們可以很輕松的發現HackerDefender的保存在註冊表中的驅動和服務的子鍵以及文件的存放地址。通過RootkitRevealer掃描出的信息,妳就可以確定妳的機器被哪些Rootkit光顧了,不過RootkitRevealer並不能清除這些Rootkit,要清除Rootkit我們還需要借助於其它工具。RootkitRevealer可以幫助我們方便的查找Rootkit,免的自己被賣了還幫別人數錢!使用RootkitRevealer之前,最好先用優化大師將註冊表清理壹下,免的信息太多反而將Rootkit遺漏了,如果妳發現機器上有很多Rootkit的話,格式化硬盤然後重裝系統或者GHOST回去是最好的選擇哦。漢化過程中,終於明白“漢化過度”是怎麽回事了——本軟件中,如果壹定要把Scan翻譯成“掃描”,程序就無法運行。