Враг неведом

Зайцев Олег

Спецвыпуск: Хакер, номер #070, стр. 070-034-7

RootkitRevealer

Антируткит RootkitRevealer Марка Руссиновича можно скачать с сайта www.sysinternals.com/. Принцип работы – сравнение информации о диске и реестре, полученной путем прямого их чтения и запрошенного через API. Если руткит маскирует объекты на диске и ключи в реестре, то возникнут расхождения, которые RootkitRevealer зафиксирует в протоколе. Утилита работает достаточно быстро, однако возможности ее ограничены – если руткит не маскирует свои файлы и ключи реестра, то RootkitRevealer его не обнаружит. Достоинство – детектирует маскировку независимо от применяемой методики.

BlackLight

Антируткит BlackLight разработан компанией F-Secure и уже достаточно длительное время находится в стадии бета-тестирования. Скачать его можно по адресу http://www.f-secure.com/blacklight/, утилита работает без инсталляции. Принцип поиска руткитов основывается на низкоуровневом анализе системы для выявления маскируемых процессов и файлов. Несомненный плюс – способность поиска маскирующихся процессов, которая постоянно совершенствуется.

SSV

Антируткит SSV является бесплатным продуктом, автор — Joanna Rutkowska, известная по сайту rootkit.com. Сайт программы — http://invisiblethings.org, размер – около 50 Кб, инсталляции не требует. Утилита SSV формирует очень информативные протоколы и обладает способностью нейтрализации руткитов. Эту утилиту можно посоветовать только опытному пользователю. Ограничение: в ходе нейтрализации не детектирует маскировку процессов, равно как и AVZ не делает различия между «полезными» и «вредными» перехватчиками.

На диске ты найдешь все описанные в статье примеры кода

Напоминаем, что вся информация в статье представлена в образовательных целях.