截图
RootkitRevealer是高级的rootkit检测实用程序。它在Windows NT 4和更高版本上运行,其输出列出注册表和文件系统API的差异,这些差异可能表明存在用户模式或内核模式rootkit。
RootkitRevealer成功检测到许多持久性Rootkit,包括AFX,Vanquish和HackerDefender(注意:RootkitRevealer并非旨在检测Fu等不尝试隐藏其文件或注册表项的Rootkit)。
由于持久性rootkit通过更改API结果来工作,因此使用API的系统视图与存储中的实际视图不同,因此RootkitRevealer会将最高级别的系统扫描结果与最低级别的系统扫描结果进行比较。最高级别是Windows API,最低级别是文件系统卷或注册表配置单元的原始内容(配置单元文件是注册表的磁盘存储格式)。
因此,RootkitRevealer会将Rootkit(无论是用户模式还是内核模式)操纵Windows API或本机API以从目录列表中删除它们的存在,这将被视为Windows API返回的信息与所见信息之间的差异。在FAT或NTFS卷的文件系统结构的原始扫描中。
.png){kind=logo}
