RootkitRevealer 1.71; RootkitRevealer ist ein fortgeschrittener Wurzelwerkzeug Entdeckungsnutzen RootkitRevealer ist ein fortgeschrittener Wurzelwerkzeug Entdeckungsnutzen. Es startet NT 4 auf Windows und höher und seine Ausgabe führt Registratur und Aktensystem API-Diskrepanzen auf, die vielleicht auf die Gegenwart von einem Benutzer-Modus oder einem Kern-Modus rootkit hinweisen.
RootkitRevealer kann allen ausdauernden bei
www.rootkit.com veröffentlichten rootkits erfolgreich bemerken, einschließlich bezwingen Sie, AFX und HackerDefender (Notiz): RootkitRevealer wird nicht beabsichtigt, rootkits wie Fu zu bemerken, der nicht versucht, ihre Akten oder Registraturschlüssel zu verstecken.
Der Begriff rootkit wird benutzt, die Mechanismen und die Techniken zu beschreiben, wodurch malware, einschließlich Viren, spyware und trojans, versucht, ihre Gegenwart von spyware-Blockierer, gegen Viren wirken, zu verstecken und Systemmanagementnutzen. Es gibt mehrere rootkit-Einteilungen angeschaltet, ob der malware überlebt, rebooten Sie und ob es in Benutzerform oder Kernform ausführt.
Persistent Rootkits
Ein ausdauernder rootkit ist einer, der mit malware assoziiert wird, der jedem Mal die Systemstiefel aktiviert. Weil solcher malware Code enthält, der jeden Systemanfang automatisch ausgeführt werden muss, oder wenn ein Benutzer darin einloggt, müssen sie Code in einem ausdauernden Laden lagern, wie die Registratur oder Aktensystem, und eine Methode konfigurieren, durch die der Code ohne Benutzereingriff ausführt.
Memory-Based Rootkits
Gedächtnis-basierter rootkits ist malware, die keinen ausdauernden Code haben und deshalb nicht überleben, ein rebooten Sie.
User-mode Rootkits
es gibt viele Methoden, durch die rootkits versucht, Entdeckung auszuweichen. Zum Beispiel könnte ein Benutzer-Modus rootkit alle Rufe an die Windows FindFirstFile-FindNextFile API abfangen, die von Aktensystem Erforschungsnutzen benutzt werden, einschließlich des Forschers, und der Befehl souffliert, um den Inhalt der Aktensystemverzeichnisse aufzuzählen. Wenn ein Antrag eine Verzeichnisauflistung, die ansonsten Ergebnisse zurückgeben würde, die Einträge enthalten, die die Akten identifizieren, aufführt, die mit dem rootkit assoziiert wird, fängt der rootkit ab und modifiziert die Ausgabe, um die Einträge zu entfernen.
Der Windows einheimische API dient, wie die Verbindungsfläche zwischen Benutzer-Modusklienten und Kern-Modusdiensten und kultivierteren Benutzer-Modus rootkits Aktensystem, Registratur und Prozessaufzählungsfunktionen des Einheimischen API abfängt. Dies verhindert ihre Entdeckung durch Scanner, die die Ergebnisse einer Windows API Aufzählung vergleichen, mit dem, das von einer einheimischen API-Aufzählung zurückgegeben wird.
Kernel-mode Rootkits
Kern-Modus rootkits kann seit es noch mächtiger sein, nicht nur können sie den einheimischen API in Kern-Modus abfangen, aber sie können auch Kern-Modusdaten Strukturen direkt manipulieren. Eine gewöhnliche Technik dafür, die Gegenwart eines malware-Prozesses zu verstecken, ist, den Prozess von der Liste des Kernes aktiver Prozesse zu entfernen. Weil sich ProzessmanagementaPI auf den Inhalt der Liste, der malware-Prozess wird nicht in Prozessmanagementwerkzeuge wie Aufgabenmanager oder Prozessforscher zeigen, verlassen.
Kommentare
Kommentar hinzufügen