RootkitRaler是一款高级的otkit检测工具,它支持在WindowsWindows XP32位和Windows Server 2003 32位上运行,其输出列出注册表和文件系统API的差异,这些差异可能表明存在用户模式或内核模式otkit;RootkitRaler成功检测到许多持久Rootkit,包括AFX,Vanquish和HackerDefender,RootkitRaler并非旨在检测Fu等不尝试隐藏其文件或注册表项的Rootkit;不再提供命令行版本的原因是,恶意软件作者已开始使用其可执行文件名来针对RootkitRaler的扫描,因此系统更新了RootkitRaler,使其从作为Windows服务运行的自身随机命名副本执行扫描。这种执行方式不利于命令行界面,用户可以使用命令行选项执行自动扫描,并将结果记录到文件中,这等效于命令行版本的行为!
| 相关推荐 | 软件介绍 | 下载地址 |
|---|---|---|
| CPU-Z简体中文版 | 81下载小编带来CPU-Z,它主要用于系统的电脑软件,也许CPU-Z简体中文版下载的存在为大家提供了系统软件别样选择!欢迎来81下载体验!CPU-Z软件简介CPU-Z是一款最权威的CPU处理器检测工具,其中我们还支持的CPU种类相当全面,我们这个启动速度及检测速度都是非常快的哦。软件的&helli | 点击查看 |
| dvdfab | 81下载小编分享给大家dvdfabpasskey软件下载和dvdfabpasskey使用介绍,它是属于系统软件的一款系统电脑软件,需要这款dvdfabpasskey免费版下载软件的朋友们,快来看看这个系统软件有什么不同吧!希望您能喜欢!dvdfabpasskey软件简介DVDFabPasskey是一款在widws平台上使... | 点击查看 |
| 极客狗装机大师 | 极客狗装机大师免费下载是系统软件分类一键系统重装设备电脑软件,81下载小编推荐极客狗装机大师软件下载和使用介绍分享给大家,总体来说极客狗装机大师v1.0.0.30软件通常比较操作简单容易上手,是很多用户必备选择,推荐大家下载!相关软件下载地址cpu-z中文绿色版v1.97... | 点击查看 |
RootkitRaler软件功能
术语otkit用于描述各种机制和技术,恶意软件试图从间谍软件阻止程序
包括病毒,间谍软件和特洛伊木马程序
防病毒和系统管理实用程序中隐藏它们的存在。
根据恶意软件在重启后是否还可以生存以及是否以用户模式或内核模式执行,otkit有几种分类。
永久Rootkit
永久Rootkit是与恶意软件相关联的一个,每次启动时都会激活。
由于此类恶意软件包含必须在每个系统启动时或用户登录时自动执行的代码
因此它们必须将代码存储在持久存储中
例如注册表或文件系统,并配置一种无需用户干预即可执行代码的方法。
RootkitRaler软件特色
基于内存的Rootkit基于内存的Rootkit是没有持久代码的恶意软件,因此无法在重新启动后幸免。
用户模式Rootkits Rootkits
尝试通过多种方法来逃避检测。
例如,用户模式otkit可能会拦截对Windows FindFirstFile / FindNextFile API的所有调用
这些文件被文件系统探索实用程序(包括Explorer和命令提示符)用来枚举文件系统目录的内容。
当应用程序执行目录列表时,如果该目录列表返回包含标识与otkit关联的文件的条目的结果
则otkit会拦截并修改输出以删除条目。
Windows本机API充当用户模式客户端和内核模式服务之间的接口
更复杂的用户模式otkit拦截本机API的文件系统,注册表和进程枚举功能。
这样可以防止将Windows API枚举结果与本机API枚举返回的结果进行比较的扫描程序进行检测。
内核模式Rootkit
内核模式Rootkit可以更加强大,因为它们不仅可以拦截内核模式下的本机API
而且还可以直接作内核模式数据结构。
隐藏恶意软件进程存在的一种常用技术是从内核的活动进程列表中删除该进程。
由于进程管理API依赖于列表的内容
因此恶意软件进程将不会显示在任务管理器或Pcess Explorer之类的进程管理工具中。
RootkitRaler软件优势
RootkitRaler的工作原理
由于持久otkit通过更改API结果来工作,因此使用API的系统视图与存储中的实际视图不同
因此RootkitRaler会将最高级别的系统扫描结果与最低级别的系统扫描结果进行比较。
最高级别是Windows API,最低级别是文件系统卷或注册表配置单元的原始内容
配置单元文件是注册表的磁盘存储格式
RootkitRaler会将Rootkit纵Windows API或本机API从目录列表中删除它们的存在
都将视为Windows API返回的与所看到的差异在FAT或NTFS卷的文件系统结构的原始扫描中。
Rootkit可以从RootkitRaler隐藏吗从理论上讲,Rootkit可以从RootkitRaler隐藏。
这样做将需要拦截RootkitRaler对注册表配置单元数据或文件系统数据的读取
并更改数据的内容,以便不存在otkit的注册表数据或文件。
但是,这将需要一定程度的复杂,这是迄今为止Rootkit所没有的。
更改数据既需要对NTFS,FAT和Registry配置单元格式有深入的了解
还需要具有更改数据结构以隐藏otkit的能力
但不会导致不一致或无效的结构或副作用差异。
由RootkitRaler标记。
有没有一种可的方法可以知道Rootkit的存在
通常,不是从正在运行的系统中。内核模式的otkit可以控制系统行为的任何方面
因此任何API返回的都可能受到损害。
包括注册表配置单元的原始读取和RootkitRaler执行的文件系统数据
虽然比较系统的联机扫描和从安全环境(例如引导到基于CD的作系统安装)中进行的脱机扫描更为可
但otkit可以将此类工具作为目标来逃避甚至对其进行检测。
最重要的是,永远不会有通用的otkit扫描程序
但是功能最强大的扫描程序将是与防病毒集成的在线/离线比较扫描程序。
RootkitRaler安装步骤
1、用户可以点击本网站提供的下载路径下载得到对应的程序安装包
2、只需要使用解压功能将压缩包打开,双击主程序即可进行安装,弹出程序安装界面
3、同意上述协议条款,继续安装应用程序,点击同意按钮即可
4、可以根据自己的需要点击浏览按钮将应用程序的安装路径进行更改
5、弹出以下界面,用户可以直接使用鼠标点击下一步按钮
6、桌面快捷键的创建可以根据用户的需要进行创建,也可以不创建
7、现在准备安装主程序,点击安装按钮开始安装
8、根据提示点击安装,弹出程序安装完成界面,点击完成按钮即可
RootkitRaler使用教程
使用RootkitRaler
RootkitRaler要求运行其帐户已分配了“备份文件和目录”,“加载驱动程序”和“执行卷任务(在Windows XP及更高版本上)”特权。默认情况下,为Administrators组分配了这些特权。为了最大程度地减少误报,请在空闲系统上运行RootkitRaler。
为了获得最佳结果,请退出所有应用程序,并在RootkitRaler扫描过程中保持系统空闲。
手动扫描
要扫描系统,请在系统上启动它,按“扫描”按钮。RootkitRaler扫描系统,在其窗口底部的状态区域中报告其作,并注意输出列表中的差异。您可以配置的选项:
隐藏NTFS元数据文件:默认情况下此选项处于启用状态,并且RootkitRaler不显示标准的NTFS元数据文件,这些文件已从Windows API中隐藏。
扫描注册表:默认情况下此选项为启用。取消选择它会使RootkitRaler不执行注册表扫描。
启动自动扫描
RootkitRaler支持多种自动扫描系统选项:
用法:otkitraler [-a [-c] [-m] [-r]输出文件]
启动自动扫描参数描述
-一种完成后自动扫描并退出。
-C将输出格式设置为CSV。
-米显示NTFS元数据文件。
-r不要扫描注册表。
请注意,文件输出位置必须在本地卷上。
如果指定-c选项,则不会报告进度,并且差异会以CSV格式打印,以便于导入数据库。您可以通过使用Sysinternals PsExec实用程序使用命令行来执行对远程系统的扫描,如下所示:
pec \ remote -c otkitraler.exe -a c: windows system32 otkit.log
解释输出
这是RootkitRaler的屏幕快照,用于检测流行的HackerDefender otkit的存在。注册表项差异表明,存储HackerDefender的设备驱动程序和服务设置的注册表项对Windows API不可见,但在注册表配置单元数据的原始扫描中却存在。同样,与HackerDefender关联的文件对Windows API目录扫描也不可见,但在原始文件系统数据的扫描中却存在。
您应该所有差异,并确定它们表明存在otkit的可能。不幸的是,没有基于输出确定Rootkit是否存在的确定方法,但是您应该所有报告的差异以确保它们是可以解释的。如果确定已安装otkit,请在网上搜索删除说明。如果不确定如何删除otkit,则应重新格式化系统的硬盘并重新安装Windows。
除了下面有关RootkitRaler可能存在差异的之外,Sysinternals的RootkitRaler论坛还讨论了检测到的otkit和特定的假阳。
从Windows API隐藏
这些差异是大多数otkit所表现出的差异。但是,如果您尚未选中“隐藏NTFS元数据文件”,则应该在任何NTFS卷上看到许多此类条目,因为NTFS从Windows API中隐藏了其元数据文件,例如$ MFT和$ Secure。NTFS卷上存在的元数据文件因NTFS版本和卷上已启用的NTFS功能而异。还有一些防病毒产品,例如Kaspersky Antivirus,它们使用otkit技术隐藏它们存储在NTFS备用数据流中的数据。如果您正在运行这样的病毒扫描程序,则将在每个NTFS文件上看到备用数据流的Windows API隐藏差异。RootkitRaler不支持输出过滤器,因为Rootkit可以利用任何过滤器。最后,
这是从Windows Server 2003开始定义的NTFS元数据文件的列表:
$ AttrDef
$ BadClus
$ BadClus:$ Bad
$ BitMap
$启动
$ LogFile
$ Mft
$ MftMirr
$安全
$ UpCase
$卷
$扩展
$扩展 $修复
$ Extend $ ObjId
$扩展 $ UsnJrnl
$ Extend $ UsnJrnl:$ Max
$扩展 $配额
访问被拒绝。
RootkitRaler绝不应该报告此差异,因为它使用允许其访问系统上任何文件,目录或注册表项的机制。
在Windows API,目录索引中可见,但在MFT中不可见。
在Windows API中可见,但在MFT或目录索引中不可见。
在Windows API,MFT中可见,但在目录索引中不可见。
在目录索引中可见,但在Windows API或MFT中不可见。
文件系统扫描包括三个组件:Windows API,NTFS主文件表(MFT)和NTFS磁盘上目录索引结构。这些差异表明文件仅出现在一次或两次扫描中。常见的原因是在扫描过程中创建或删除了文件。这是RootkitRaler针对扫描期间创建的文件的差异报告的示例:
C: newfile.txt
2005年3月15:26 PM
8个字节
在Windows API中可见,但在MFT或目录索引中不可见。
Windows API长度与原始配置单元数据不一致。
Rootkit可以通过错误地表示注册表值的大小来尝试隐藏自身,以使Windows API无法看到其内容。您应该任何此类差异,尽管它也可能是由于扫描期间注册表值更改而导致的。
Windows API和原始配置单元数据之间的类型不匹配。
注册表值具有DWORD和REG_SZ之类的类型,并且此差异说明通过Windows API报告的值的类型与原始配置单元数据的类型不同。例如,otkit可以通过将其数据存储为REG_NARY值并将Windows API认为它是REG_SZ值来屏蔽其数据。如果在数据的开头存储0,则Windows API将无法访问后续数据。
键名包含嵌入的空值。
Windows API将键名称视为以null终止的字符串,而内核将其视为计数的字符串。因此,可以创建对作系统可见的注册表项,但是对于注册表工具(如Regedit)仅部分可见。Sysinternals的 Reghide示例代码演示了此技术,恶意软件和otkit均使用该技术隐藏注册表数据。使用Sysinternals RegDelNull 实用程序删除带有嵌入式null的键。
Windows API和原始配置单元数据之间的数据不匹配。
如果在进行注册表扫描时更新注册表值,则会出现此差异。经常更改的值包括时间,例如Micsoft SQL Server正常运行时间值(如下所示)和病毒扫描程序的“最后扫描”值。您应该调查任何报告的值,以确保其有效的应用程序或系统注册表值。
