ROOTKIT.CZ: Aplikace RootkitRevealer

Reklama

Aplikace

Aplikace RootkitRevealer

Produkt RootkitRevealer od společnosti Sysinternals je produktem, který není ani tak "antivirem" pro detekci konkrétních známých rootkitů, ale produktem pro obecné výhledávání skrývajících se aplikací (tedy i rootkitů). Vyžaduje určité znalosti uživatele, protože jen ten může rozhodnout, zda nález je vážný (tj. jde o rootkit) nebo jde o nějakou legitimní "hloupost", např. výsledek přítomnosti speciálního ovladače diskového řadiče.

RootkitRevealer funguje tak, že provede průzkum PC (souborů, registru...) na úrovni volání příslušných API funkcí operačního systému (tedy podobně jako to dělají běžné programy), ale i na co nejnižší úrovni operačního systému. K souborům tak přistupuje defakto na úrovni diskového ovladače a k registrům pak jako k datovému souboru na disku. Následně porovnává informace získáné z těchto dvou úrovní a vyhodnocuje zjištěné rozdíly, které mohou být mimojiné výsledkem působení rootkitu.

Rootkit tak může např. zakrýt některé soubory na úrovni funkcí API (tím že má pod kontrolu funkce API související s hledáním souborů), avšak nezakryje je na úrovni diskového ovladače (druhá - nižší úroveň průzkumu programem RootkitRevealer). RootkitRevealer má tak k dispozici rozdílné informace o tomtéž z obou úrovní průzkumu a okamžitě se o ně dělí s uživatelem, typicky hláškou s popisem (sloupec description) Hidden from Windows API. Toto hlášení je typické pro naprostou většinu běžících rootkitů, ale může se teoreticky vyskytnout i na "čistém" PC (např. u mě v souvislosti s ovladačem RAID). Hlášení Hidden from Windows API značí úplné zakrytí daného souboru / objektu v registech na úrovni volání funkcí API. Rozdíly mohou být i menší, např. položka v registech zjištěná příslušnou API funkcí je rozdílného typu, než shodná položka na úrovni registrů jako datového souboru (Type mismatch between Windows API and raw hive data.)

Další informace lze najít přímo na stránkách výrobce:
http://www.microsoft.com/technet/sysinternals/Utilities/RootkitRevealer.mspx, kde lze popisovaný produkt i zdarma stáhnout.

Použití:
Program je potřeba spustit a stisknout tlačítko SCAN. Kontrola může trvat až několik desítek minut. Pokud si nejste jisti, zda hlášení jsou v pořádku, popř. svědčí o přítomnosti rootkitu, protokol pomocí menu File / Save... vyexportujte do textového souboru a obsah tohoto textového souboru zkopírujte do fóra viry.cz (v textovém editoru lze obsah souboru označit - CTRL-A a pomocí schránky CTRL-C / CTRL-V přenést do nového příspěvku na diskuzním fóru).