RootkitRevealer最新版是一款功能強大好用的rootkit檢測軟件，RootkitRevealer最新版能夠在Windows系統中進行簡單的運行，能夠幫助用戶們檢測rootkit，你可以在RootkitRevealer最新版看到輸出列表注冊表和文件系統API的差異，感興趣的用戶快來KK下載體驗吧~

RootkitRevealer最新版特色

基于內存的Rootkit基于內存的Rootkit是沒有持久代碼的惡意軟件，因此無法在重新啟動后幸免。

用戶模式Rootkits Rootkits

嘗試通過多種方法來逃避檢測。

例如，用戶模式rootkit可能會攔截對Windows FindFirstFile / FindNextFile API的所有調用

這些文件被文件系統探索實用程序(包括Explorer和命令提示符)用來枚舉文件系統目錄的內容。

當應用程序執行目錄列表時，如果該目錄列表返回包含標識與rootkit關聯的文件的條目的結果

則rootkit會攔截并修改輸出以刪除條目。

Windows本機API充當用戶模式客戶端和內核模式服務之間的接口

更復雜的用戶模式rootkit攔截本機API的文件系統，注冊表和進程枚舉功能。

這樣可以防止將Windows API枚舉結果與本機API枚舉返回的結果進行比較的掃描程序進行檢測。

內核模式Rootkit

內核模式Rootkit可以更加強大，因為它們不僅可以攔截內核模式下的本機API

而且還可以直接操作內核模式數據結構。

隱藏惡意軟件進程存在的一種常用技術是從內核的活動進程列表中刪除該進程。

由于進程管理API依賴于列表的內容

因此惡意軟件進程將不會顯示在任務管理器或Process Explorer之類的進程管理工具中。

RootkitRevealer最新版功能

術語rootkit用于描述各種機制和技術，惡意軟件試圖從間諜軟件阻止程序

包括病毒，間諜軟件和特洛伊木馬程序

防病毒和系統管理實用程序中隱藏它們的存在。

根據惡意軟件在重啟后是否還可以生存以及是否以用戶模式或內核模式執行，rootkit有幾種分類。

永久性Rootkit

永久性Rootkit是與惡意軟件相關聯的一個，每次啟動時都會激活。

由于此類惡意軟件包含必須在每個系統啟動時或用戶登錄時自動執行的代碼

因此它們必須將代碼存儲在持久存儲中

例如注冊表或文件系統，并配置一種無需用戶干預即可執行代碼的方法

RootkitRevealer最新版優勢

RootkitRevealer的工作原理

由于持久性rootkit通過更改API結果來工作，因此使用API的系統視圖與存儲中的實際視圖不同

因此RootkitRevealer會將最高級別的系統掃描結果與最低級別的系統掃描結果進行比較。

最高級別是Windows API，最低級別是文件系統卷或注冊表配置單元的原始內容

配置單元文件是注冊表的磁盤存儲格式

RootkitRevealer會將Rootkit操縱Windows API或本機API從目錄列表中刪除它們的存在

都將視為Windows API返回的信息與所看到的差異在FAT或NTFS卷的文件系統結構的原始掃描中。

Rootkit可以從RootkitRevealer隱藏嗎從理論上講，Rootkit可以從RootkitRevealer隱藏。

這樣做將需要攔截RootkitRevealer對注冊表配置單元數據或文件系統數據的讀取

并更改數據的內容，以便不存在rootkit的注冊表數據或文件。

但是，這將需要一定程度的復雜性，這是迄今為止Rootkit所沒有的。

更改數據既需要對NTFS，FAT和Registry配置單元格式有深入的了解

還需要具有更改數據結構以隱藏rootkit的能力

但不會導致不一致或無效的結構或副作用差異。

由RootkitRevealer標記。

有沒有一種可靠的方法可以知道Rootkit的存在

通常，不是從正在運行的系統中。內核模式的rootkit可以控制系統行為的任何方面

因此任何API返回的信息都可能受到損害。

包括注冊表配置單元的原始讀取和RootkitRevealer執行的文件系統數據

雖然比較系統的聯機掃描和從安全環境(例如引導到基于CD的操作系統安裝)中進行的脫機掃描更為可靠

但rootkit可以將此類工具作為目標來逃避甚至對其進行檢測。

最重要的是，永遠不會有通用的rootkit掃描程序

但是功能最強大的掃描程序將是與防病毒集成的在線/離線比較掃描程序。