Blog. Just Blog

Программы для обнаружения и удаления руткитов

Версия для печати Добавить в Избранное Отправить на E-Mail | Категория: Software | Автор: ManHunter
Программы для обнаружения и удаления руткитов
Программы для обнаружения и удаления руткитов

Безопасности много не бывает. Я повторял эту фразу и буду повторять всегда. Но компьютерная безопасность состоит из множества различных параметров и рубежей, одно только их перечисление займет немало времени, не говоря уже о длинном списке программного и аппаратного обеспечения. В этой статье я собрал несколько наиболее, на мой взгляд, эффективных утилит для обнаружения и удаления руткитов и прочей хитрой вирусни под Windows. Это далеко не полный список, а, скорее, он-лайновый резерв на всякий случай. Обычно я таскаю их все на дежурной флешке, но мало ли, вдруг где понадобится, а чудо-флешки под рукой не будет. Сразу предупреждаю, что это достаточно специфический инструментарий, поэтому если не уверены в своих силах или не знаете что это и зачем, то просто проходите мимо.

Скриншот программы RkUnhooker
Скриншот программы RkUnhooker

RkUnhooker - самая мощная, на мой взгляд, программа для обнаружения руткитов и борьбы с другими вредоносными программами. Позволяет обнаружить и снять перехваты таблицы SDT и кода, показывает все скрытые драйвера, процессы и файлы. Через RkUnhooker можно убивать файлы запущенных процессов, в том числе с перезаписью пустыми данными для предотвращения их повторного запуска, снимать дампы памяти процессов для анализа и многое другое. Хорошо защищается от внешнего воздействия и модификации своего файла. Русский язык в наличии. К сожалению, в настоящее время проект закрыт.

RkUnhooker 3.8.389.593 SR2RkUnhooker 3.8.389.593 SR2

RkUnhooker.3.8.389.593.SR2.zip (185,340 bytes)

Скриншот программы GMER
Скриншот программы GMER

GMER - еще одна неплохая утилита, имеет на борту такие инструменты, как мощный редактор реестра, показывающий скрытые ветки, редактор жесткого диска, просмотрщик и редактор секции автозапуска системы. Вместе с RkUnhooker получается отличная команда, дополняющая друг друга. GMER время от времени обновляется, так что самая последняя версия доступна по ссылке с офсайта.

GMER 2.1.18952GMER 2.1.18952

GMER.2.1.18952.zip (365,520 bytes)

Скриншот программы Kernel Detective
Скриншот программы Kernel Detective

Kernel Detective - интересная утилита от крякерской команды AT4RE. Находится в стадии разработки, поэтому иногда на некоторых компьютерах может выбить систему в "экран смерти". Список доступного инструментария можно посмотреть на вкладках. Kernel Detective взаимодействует с системой через свой драйвер, который очень не нравится некоторым антивирусам. Но это ложная тревога, все проверено и абсолютно безопасно. Из недостатков хочу отметить полное отсутствие самозащиты, процесс Kernel Detective можно обнаружить простейшим поиском по заголовку окна, а затем автоматически его прибить.

Kernel Detective 1.4.1Kernel Detective 1.4.1

Kernel.Detective.1.4.1.zip (1,252,409 bytes)

Скриншот программы PowerTool
Скриншот программы PowerTool

PowerTool - очень хороший инструмент, удачно объединяющий в себе функции предыдущих программ, а также расширяющие их новыми возможностями. Получился бы отличный инструмент, если бы не недостатки самозащиты. Но программа развивается, я уверен, что у этого проекта все еще впереди.

PowerTool 4.3PowerTool 4.3

PowerTool.4.3.zip (1,011,263 bytes)

Скриншот программы Tuluka Kernel Inspector
Скриншот программы Tuluka Kernel Inspector

Tuluka Kernel Inspector - сравнительно новая отечественная разработка. Эта утилита позволяет просматривать установленные системные хуки, изменения в SSDT, скрытые процессы, сервисы и драйвера, позволяет снимать дампы с процессов, в том числе и системных. Самозащита, к сожалению, полностью отсутствует. Но если активного противодействия со стороны вредоносов нет, то Tuluka Kernel Inspector станет неплохим помощником при анализе зараженной системы. Русский язык в наличии. Последнюю версию можно скачать с офсайта.

Tuluka Kernel Inspector 1.0.394.77Tuluka Kernel Inspector 1.0.394.77

Tuluka.Kernel.Inspector.1.0.394.77.zip (2,893,650 bytes)

Скриншот программы XueTr
Скриншот программы XueTr

XueTr - китайский антируткит. Задумка хорошая, но реализация, на мой взгляд, слабовата. Можно использовать как запасной или вспомогательный вариант, если все вышеперечисленное не дало результата. Последняя версия на офсайте.

XueTr 0.45XueTr 0.45

XueTr.0.45.zip (1,294,674 bytes)

Скриншот программы IceSword
Скриншот программы IceSword

IceSword - китайская поделка, одна из самых первых программ такого типа. Работоспособна только на старых системах до Windows 7. Это, впрочем, можно даже считать плюсом, ведь современные инструменты не рассчитаны на работу, например, в Windows 2000. Так что может однажды пригодиться не только для пополнения коллекции.

IceSword 1.22IceSword 1.22

IceSword.1.22.zip (714,327 bytes)

Повторюсь, что это далеко не самая полная коллекция антируткитов. И надеюсь, что ни вам, ни мне не придется ими воспользоваться. Но, как поется в песне: "Мы мирные люди, но наш бронепоезд стоит на запасном пути".

Поделиться ссылкой ВКонтакте Поделиться ссылкой на Facebook Поделиться ссылкой на LiveJournal Поделиться ссылкой в Мой Круг Добавить в Мой мир Добавить на ЛиРу (Liveinternet) Добавить в закладки Memori Добавить в закладки Google
Просмотров: 30656 | Комментариев: 20

Внимание! Статья опубликована больше года назад, информация могла устареть!

Комментарии

Отзывы посетителей сайта о статье
Дима (13.06.2015 в 10:27):
Сука ты, вирус
ManHunter (09.10.2014 в 14:00):
Полезная штука, пригодится.
Drongo (09.10.2014 в 13:54):
Парсер логов GMER - http://safezone.cc/resources/p...ja-drongo.23
Сева (18.02.2013 в 22:10):
Возможно, я не в курсе темы полностью, но с моей точки зрения стоило бы упомянуть AVZ4 — http://z-oleg.com/secur/avz/download.php
LonerD (14.02.2013 в 19:51):
Ещё существует 64-битная версия PowerTool:
http://code.google.com/p/power...wnloads/list
PC Hunter на базе XueTr:
http://www.xuetr.com/?p=191
Поддерживает Win 2000 ~ 8, плюс 64-битные 7 и 8.
ManHunter (31.01.2013 в 19:48):
Так он же есть в авторах, только под ником EP_X0FF
Kemper (31.01.2013 в 19:43):
аааа нашел - во память дырявая - EvilPhantasy
ManHunter (31.01.2013 в 19:43):
Kemper, к сожалению не знаю. А в About в разделе "благодарности" его нет? Неужели не упомянули?
Kemper (31.01.2013 в 19:39):
ManHunter, а непомнишь случайно ник автора RkUnhooker - ну первых версий - он помнится сам ее сваял а потом уже ребята подхватили толи fox... чегото там - он на нескольких антивирусных сайтах тему вел а потом пропал с горизонта к сожалению - я после прочтения его тем - лично для себя каспера перестал вообще за антивирус воспринимать )
Never (17.01.2013 в 00:08):
А как же 2 презерватива и ни какого секса? :-)
ManHunter (10.01.2013 в 12:06):
100% гарантии не дает ничего.
Wlad (10.01.2013 в 11:19):
А можно вопрос от дилетанта, Kaspersky (в частности internet security) не спасает от всего этого, если он установлен?
bigcatwar (07.01.2013 в 15:38):
Долгое осуЖдение о теме безопастности очень грузид моск!! Если верить самому себе то 1 Этап защиты отдан роутеру 2 антивирусу 3 зачистке с носителя!
ManHunter (29.12.2012 в 10:50):
Мимоход, видел такую, знаю. Но разбираться в километре консольного лога как-то напрягает. Вроде бы кто-то уже спрашивал парсер логов для этого чуда, но автор, как я понимаю, делать его не планирует.
Мимоход (29.12.2012 в 07:52):
http://redplait.blogspot.ru/se...bel/wincheck

единственная, работающая под x64 (с отключенной проверкой подписи драйвера).
over100500 методов детекта.
Musika (28.12.2012 в 20:06):
Приветствую,

спасибо, полезно.

С наступающим Новым Годом !
==DJ==[ZLO] (28.12.2012 в 19:55):
Приветствую! Интересно бы их протестить на "вшывость"
hТТp://www.ntinternals.org/dll_detection_test.php
hТТp://www.ntinternals.org/anti_rootkits.php
ManHunter (28.12.2012 в 17:13):
brute, загружаешься с любого LiveCD и удаляешь весь шлак легким движением руки.
brute (28.12.2012 в 17:12):
у меня вместо всех антивирусов стоит AnVir Task Manager. Он паказывает процессы, службы, драйвера и.т.п. с возможностью завершения/останова и контолирует автозагрузку на добавление новых записей. Для отлова скрытых процессов не раз помогала тузла Process Hunter от Ms-Rem'а. Также довольно мощная прога SysInspector от ESET. В качестве пожелания хотелось бы увидеть статью/тузлы о создании и удалении неудаляемых файлов из-за отсутствия прав доступа (такие файлы остаются после переустановки винды). Знаю, что их можно удалить через расширенные свойства файла путем наследования.. интересно, где хранится инфа об их принадлежности к другой учетке?
boozer (28.12.2012 в 14:38):
добавлю не самую худшую утилитку UVS
http://dsrt.dyndns.org/files/uvs_v376.zip

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2018
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.06 сек. / MySQL: 2 (0.0033 сек.) / Память: 4.75 Mb
Наверх