Rootkit – це додаток, яке приховує наявність загрози в системі методом перехоплення системних функцій (Windows API). Може приховувати себе, запускати процеси, файли і ключі реєстру. Для виявлення руткітів найчастіше використовується перехресна перевірка, в якій ми порівнюємо список файлів в каталозі, повертається API операційної системи і зчитаний безпосередньо з файлової системи. У справній системі обидва результату повинні бути ідентичними, записи, наявні у другому списку і не повернуті API, ймовірно, приховані руткітам.
Примітка. Для отримання поточних інструкцій та допомоги з видалення шкідливих програм див. Форум
Підготовка системи перед скануванням
запуск додатків, перерахованих нижче, може зіткнутися з іншими додатками, що використовують низькорівневий доступ / подібний руткиту. Це проявляється у припиненні роботи програми, негайне відключення або екрану смерті (BSOD). Тому перед запуском ми відключаємо всі запущені програми, в тому числі антивірусні програми / програми безпеки брандмауера. Однак найважливіше – відключити / видалити програми, эмулирующие віртуальні диски:
Підручник: відключення і видалення драйвера SPTD віртуальних дисків
Це програмне забезпечення використовує драйвер, який працює в руткіт-подібній техніці, і фальсифікує результати роботи. >>> Припускає зараження, коли воно зникло, і затемнює зображення, коли воно дійсно існує.
Ліцензія: безкоштовно
Платформа: Windows NT4 / 2000 / XP / Vista / 7 32-розрядна
опис
Польське авторське додаток для виявлення руткітів. Вікно програми розділене на декілька вкладок:
- Процеси : дозволяє переглядати і редагувати процеси – закриття (процес Kill), закриття всіх, залишаючи тільки одну систему і необхідне для Gmer (Kill all), перезавантаження комп’ютера (перезавантаження), команда «Виконати», перегляд бібліотек
- Модулі : попередній перегляд завантажених модулів
- Сервіси : дозволяє переглядати і редагувати сервіси, наприклад, змінювати тип запуску
- Файли : браузер файлів на диску, дозволяє видалити / перемістити / вбити файл
- Реєстр : браузер реєстру, дозволяє експортувати / модифікувати
