超级后门Hackerdefender应该说是大名鼎鼎,查杀也比较头疼,最近发现www.sysinternals.com有一款好工具,不敢独享,写下此文。最新的版本RootkitRevealer1.4可以用来检测系统Windows系统里边是否运行着Rootkit,它通过分析注册表和系统API文件差异,能检测出来www.rootkit.com发布的所有rootkit,包括AFX、Vanquish、HackerDefender等(注意:RootkitRevealer是不能够检测那些没有隐藏文件和注册表的Rootkit,比如FU_Rootkit)。
RootkitRevealer内包含GUI和命令行两个版本,其中命令行版本配合PsExec可以执行远程扫描。下面我们来看看如何使用,首先要注意的是运行RootkitRevealer需要Administrator权限。RootkitRevealer支持手工扫描和自动扫描2种方式。
Rootkit一般认为是一种系统间谍、病毒、木马软件的集合,具有隐藏性非常好等特点,黑客可用来获取计算机的未经授权的远程访问权限,并发动其它攻击,能给用户带来严重安全威胁。
RootkitRevealer的使用:
(1)手工扫描
下图是RootkitRevealer界面,比较简单,直接点击scan就可以扫描系统啦。RootkitRevealer提供了以下2个选项:
隐藏NTFS中的元数据(HidestandardNTFSMetadatafiles):该选项是默认选择的,RootkitRevealer默认不会显示NTFS中的元数据(元数据是存储在卷上支持文件系统格式管理的数据。它不能被应用程序访问,只能为系统提供服务)。
扫描注册表(ScanRegistry):该选项是默认是选择的,如果没有选择,RootkitRevealer将略过注册表扫描。
(2)自动扫描
命令行的RootkitRevealer支持多种选项的自动扫描,使用方法如下:
rootkitrevealer[-a[-c][-m][-r]outputfile]
-a自动扫描,扫描完毕后程序结束
-c以CSV格式输出
-m显示NTFS中的元数据
-r略过注册表扫描
RootkitRevealer支持扫描远程主机,不过需要与Sysinternals的另外一个工具psexec配合使用,命令行如下:
psexec//remote-crootkitrealer.exe-ac:/windows/system32/rootkit.log
RootkitRevealer效果图
这是RootkitRevealer检测HackerDefenderrootkit的截屏,利用RootkitRevealer我们可以很轻松的发现HackerDefender的保存在注册表中的驱动和服务的子键以及文件的存放地址。
通过RootkitRevealer扫描出的信息,你就可以确定你的机器被哪些Rootkit光顾了,不过RootkitRevealer并不能清除这些Rootkit,要清除Rootkit我们还需要借助于其它工具。
RootkitRevealer可以帮助我们方便的查找Rootkit,免的自己被卖了还帮别人数钱!使用RootkitRevealer之前,
最好先用优化大师将注册表清理一下,免的信息太多反而将Rootkit遗漏了,如果你发现机器上有很多Rootkit
的话,格式化硬盘然后重装系统或者GHOST回去是最好的选择哦。
