RootkitRevealer(多功能高级rootkit检测工具)

　　RootkitRevealer是一款高级的rootkit检测工具，它支持在WindowsWindows XP32位和Windows Server 2003 32位上运行，其输出列出注册表和文件系统API的差异，这些差异可能表明存在用户模式或内核模式rootkit；RootkitRevealer成功检测到许多持久性Rootkit，包括AFX，Vanquish和HackerDefender，RootkitRevealer并非旨在检测Fu等不尝试隐藏其文件或注册表项的Rootkit；不再提供命令行版本的原因是，恶意软件作者已开始使用其可执行文件名来针对RootkitRevealer的扫描，因此系统更新了RootkitRevealer，使其从作为Windows服务运行的自身随机命名副本执行扫描。这种执行方式不利于命令行界面，用户可以使用命令行选项执行自动扫描，并将结果记录到文件中，这等效于命令行版本的行为！

软件功能

　　术语rootkit用于描述各种机制和技术，恶意软件试图从间谍软件阻止程序

　　包括病毒，间谍软件和特洛伊木马程序

　　防病毒和系统管理实用程序中隐藏它们的存在。

　　根据恶意软件在重启后是否还可以生存以及是否以用户模式或内核模式执行，rootkit有几种分类。

　　永久性Rootkit

　　永久性Rootkit是与恶意软件相关联的一个，每次启动时都会激活。

　　由于此类恶意软件包含必须在每个系统启动时或用户登录时自动执行的代码

　　因此它们必须将代码存储在持久存储中

　　例如注册表或文件系统，并配置一种无需用户干预即可执行代码的方法。

软件特色

　　基于内存的Rootkit基于内存的Rootkit是没有持久代码的恶意软件，因此无法在重新启动后幸免。

　　用户模式Rootkits Rootkits

　　尝试通过多种方法来逃避检测。

　　例如，用户模式rootkit可能会拦截对Windows FindFirstFile / FindNextFile API的所有调用

　　这些文件被文件系统探索实用程序（包括Explorer和命令提示符）用来枚举文件系统目录的内容。

　　当应用程序执行目录列表时，如果该目录列表返回包含标识与rootkit关联的文件的条目的结果

　　则rootkit会拦截并修改输出以删除条目。

　　Windows本机API充当用户模式客户端和内核模式服务之间的接口

　　更复杂的用户模式rootkit拦截本机API的文件系统，注册表和进程枚举功能。

　　这样可以防止将Windows API枚举结果与本机API枚举返回的结果进行比较的扫描程序进行检测。

　　内核模式Rootkit

　　内核模式Rootkit可以更加强大，因为它们不仅可以拦截内核模式下的本机API

　　而且还可以直接操作内核模式数据结构。

　　隐藏恶意软件进程存在的一种常用技术是从内核的活动进程列表中删除该进程。

　　由于进程管理API依赖于列表的内容

　　因此恶意软件进程将不会显示在任务管理器或Process Explorer之类的进程管理工具中。

软件优势

　　RootkitRevealer的工作原理

　　由于持久性rootkit通过更改API结果来工作，因此使用API的系统视图与存储中的实际视图不同

　　因此RootkitRevealer会将最高级别的系统扫描结果与最低级别的系统扫描结果进行比较。

　　最高级别是Windows API，最低级别是文件系统卷或注册表配置单元的原始内容

　　配置单元文件是注册表的磁盘存储格式

　　RootkitRevealer会将Rootkit操纵Windows API或本机API从目录列表中删除它们的存在

　　都将视为Windows API返回的信息与所看到的差异在FAT或NTFS卷的文件系统结构的原始扫描中。

　　Rootkit可以从RootkitRevealer隐藏吗从理论上讲，Rootkit可以从RootkitRevealer隐藏。

　　这样做将需要拦截RootkitRevealer对注册表配置单元数据或文件系统数据的读取

　　并更改数据的内容，以便不存在rootkit的注册表数据或文件。

　　但是，这将需要一定程度的复杂性，这是迄今为止Rootkit所没有的。

　　更改数据既需要对NTFS，FAT和Registry配置单元格式有深入的了解

　　还需要具有更改数据结构以隐藏rootkit的能力

　　但不会导致不一致或无效的结构或副作用差异。

　　由RootkitRevealer标记。

　　有没有一种可靠的方法可以知道Rootkit的存在

　　通常，不是从正在运行的系统中。内核模式的rootkit可以控制系统行为的任何方面

　　因此任何API返回的信息都可能受到损害。

　　包括注册表配置单元的原始读取和RootkitRevealer执行的文件系统数据

　　虽然比较系统的联机扫描和从安全环境（例如引导到基于CD的操作系统安装）中进行的脱机扫描更为可靠

　　但rootkit可以将此类工具作为目标来逃避甚至对其进行检测。

　　最重要的是，永远不会有通用的rootkit扫描程序

　　但是功能最强大的扫描程序将是与防病毒集成的在线/离线比较扫描程序。

安装步骤

　　1、用户可以点击本网站提供的下载路径下载得到对应的程序安装包

　　2、只需要使用解压功能将压缩包打开，双击主程序即可进行安装，弹出程序安装界面

　　3、同意上述协议条款，然后继续安装应用程序，点击同意按钮即可

　　4、可以根据自己的需要点击浏览按钮将应用程序的安装路径进行更改

　　5、弹出以下界面，用户可以直接使用鼠标点击下一步按钮

　　6、桌面快捷键的创建可以根据用户的需要进行创建，也可以不创建

　　7、现在准备安装主程序，点击安装按钮开始安装

　　8、根据提示点击安装，弹出程序安装完成界面，点击完成按钮即可

使用教程

　　使用RootkitRevealer

　　RootkitRevealer要求运行其帐户已分配了“备份文件和目录”，“加载驱动程序”和“执行卷维护任务（在Windows XP及更高版本上）”特权。默认情况下，为Administrators组分配了这些特权。为了最大程度地减少误报，请在空闲系统上运行RootkitRevealer。

　　为了获得最佳结果，请退出所有应用程序，并在RootkitRevealer扫描过程中保持系统空闲。

　　手动扫描

　　要扫描系统，请在系统上启动它，然后按“扫描”按钮。RootkitRevealer扫描系统，在其窗口底部的状态区域中报告其操作，并注意输出列表中的差异。您可以配置的选项：

　　隐藏NTFS元数据文件：默认情况下此选项处于启用状态，并且RootkitRevealer不显示标准的NTFS元数据文件，这些文件已从Windows API中隐藏。

　　扫描注册表：默认情况下此选项为启用。取消选择它会使RootkitRevealer不执行注册表扫描。

　　启动自动扫描

　　RootkitRevealer支持多种自动扫描系统选项：

　　用法：rootkitrevealer [-a [-c] [-m] [-r]输出文件]

　　启动自动扫描参数描述

　　-一种完成后自动扫描并退出。

　　-C将输出格式设置为CSV。

　　-米显示NTFS元数据文件。

　　-r不要扫描注册表。

　　请注意，文件输出位置必须在本地卷上。

　　如果指定-c选项，则不会报告进度，并且差异会以CSV格式打印，以便于导入数据库。您可以通过使用Sysinternals PsExec实用程序使用命令行来执行对远程系统的扫描，如下所示：

　　psexec \\ remote -c rootkitrevealer.exe -a c：\ windows \ system32 \ rootkit.log

　　解释输出

　　这是RootkitRevealer的屏幕快照，用于检测流行的HackerDefender rootkit的存在。注册表项差异表明，存储HackerDefender的设备驱动程序和服务设置的注册表项对Windows API不可见，但在注册表配置单元数据的原始扫描中却存在。同样，与HackerDefender关联的文件对Windows API目录扫描也不可见，但在原始文件系统数据的扫描中却存在。

　　您应该检查所有差异，并确定它们表明存在rootkit的可能性。不幸的是，没有基于输出确定Rootkit是否存在的确定方法，但是您应该检查所有报告的差异以确保它们是可以解释的。如果确定已安装rootkit，请在网上搜索删除说明。如果不确定如何删除rootkit，则应重新格式化系统的硬盘并重新安装Windows。

　　除了下面有关RootkitRevealer可能存在差异的信息之外，Sysinternals的RootkitRevealer论坛还讨论了检测到的rootkit和特定的假阳性。

　　从Windows API隐藏

　　这些差异是大多数rootkit所表现出的差异。但是，如果您尚未选中“隐藏NTFS元数据文件”，则应该在任何NTFS卷上看到许多此类条目，因为NTFS从Windows API中隐藏了其元数据文件，例如$ MFT和$ Secure。NTFS卷上存在的元数据文件因NTFS版本和卷上已启用的NTFS功能而异。还有一些防病毒产品，例如Kaspersky Antivirus，它们使用rootkit技术隐藏它们存储在NTFS备用数据流中的数据。如果您正在运行这样的病毒扫描程序，则将在每个NTFS文件上看到备用数据流的Windows API隐藏差异。RootkitRevealer不支持输出过滤器，因为Rootkit可以利用任何过滤器。最后，

　　这是从Windows Server 2003开始定义的NTFS元数据文件的列表：

　　$ AttrDef

　　$ BadClus

　　$ BadClus：$ Bad

　　$ BitMap

　　$启动

　　$ LogFile

　　$ Mft

　　$ MftMirr

　　$安全

　　$ UpCase

　　$卷

　　$扩展

　　$扩展\ $修复

　　$ Extend \ $ ObjId

　　$扩展\ $ UsnJrnl

　　$ Extend \ $ UsnJrnl：$ Max

　　$扩展\ $配额

　　访问被拒绝。

　　RootkitRevealer绝不应该报告此差异，因为它使用允许其访问系统上任何文件，目录或注册表项的机制。

　　在Windows API，目录索引中可见，但在MFT中不可见。

　　在Windows API中可见，但在MFT或目录索引中不可见。

　　在Windows API，MFT中可见，但在目录索引中不可见。

　　在目录索引中可见，但在Windows API或MFT中不可见。

　　文件系统扫描包括三个组件：Windows API，NTFS主文件表（MFT）和NTFS磁盘上目录索引结构。这些差异表明文件仅出现在一次或两次扫描中。常见的原因是在扫描过程中创建或删除了文件。这是RootkitRevealer针对扫描期间创建的文件的差异报告的示例：

　　C：\ newfile.txt

　　2005年3月1日5:26 PM

　　8个字节

　　在Windows API中可见，但在MFT或目录索引中不可见。

　　Windows API长度与原始配置单元数据不一致。

　　Rootkit可以通过错误地表示注册表值的大小来尝试隐藏自身，以使Windows API无法看到其内容。您应该检查任何此类差异，尽管它也可能是由于扫描期间注册表值更改而导致的。

　　Windows API和原始配置单元数据之间的类型不匹配。

　　注册表值具有DWORD和REG_SZ之类的类型，并且此差异说明通过Windows API报告的值的类型与原始配置单元数据的类型不同。例如，rootkit可以通过将其数据存储为REG_BINARY值并将Windows API认为它是REG_SZ值来屏蔽其数据。如果在数据的开头存储0，则Windows API将无法访问后续数据。

　　键名包含嵌入的空值。

　　Windows API将键名称视为以null终止的字符串，而内核将其视为计数的字符串。因此，可以创建对操作系统可见的注册表项，但是对于注册表工具（如Regedit）仅部分可见。Sysinternals的 Reghide示例代码演示了此技术，恶意软件和rootkit均使用该技术隐藏注册表数据。使用Sysinternals RegDelNull 实用程序删除带有嵌入式null的键。

　　Windows API和原始配置单元数据之间的数据不匹配。

　　如果在进行注册表扫描时更新注册表值，则会出现此差异。经常更改的值包括时间戳，例如Microsoft SQL Server正常运行时间值（如下所示）和病毒扫描程序的“最后扫描”值。您应该调查任何报告的值，以确保其有效的应用程序或系统注册表值。