Программы для обнаружения и удаления руткитов

27.12.2012 | Категория: Software | Автор: ManHunter

Программы для обнаружения и удаления руткитов

Безопасности много не бывает. Я повторял эту фразу и буду повторять всегда. Но компьютерная безопасность состоит из множества различных параметров и рубежей, одно только их перечисление займет немало времени, не говоря уже о длинном списке программного и аппаратного обеспечения. В этой статье я собрал несколько наиболее, на мой взгляд, эффективных утилит для обнаружения и удаления руткитов и прочей хитрой вирусни под Windows. Это далеко не полный список, а, скорее, он-лайновый резерв на всякий случай. Обычно я таскаю их все на дежурной флешке, но мало ли, вдруг где понадобится, а чудо-флешки под рукой не будет. Сразу предупреждаю, что это достаточно специфический инструментарий, поэтому если не уверены в своих силах или не знаете что это и зачем, то просто проходите мимо.

Скриншот программы RkUnhooker

RkUnhooker - самая мощная, на мой взгляд, программа для обнаружения руткитов и борьбы с другими вредоносными программами. Позволяет обнаружить и снять перехваты таблицы SDT и кода, показывает все скрытые драйвера, процессы и файлы. Через RkUnhooker можно убивать файлы запущенных процессов, в том числе с перезаписью пустыми данными для предотвращения их повторного запуска, снимать дампы памяти процессов для анализа и многое другое. Хорошо защищается от внешнего воздействия и модификации своего файла. Русский язык в наличии. К сожалению, в настоящее время проект закрыт.

RkUnhooker 3.8.389.593 SR2

RkUnhooker.3.8.389.593.SR2.zip (185,340 bytes)

Скриншот программы GMER

GMER - еще одна неплохая утилита, имеет на борту такие инструменты, как мощный редактор реестра, показывающий скрытые ветки, редактор жесткого диска, просмотрщик и редактор секции автозапуска системы. Вместе с RkUnhooker получается отличная команда, дополняющая друг друга. GMER время от времени обновляется, так что самая последняя версия доступна по ссылке с офсайта.

GMER 2.1.18952

GMER.2.1.18952.zip (365,520 bytes)

Скриншот программы Kernel Detective

Kernel Detective - интересная утилита от крякерской команды AT4RE. Находится в стадии разработки, поэтому иногда на некоторых компьютерах может выбить систему в "экран смерти". Список доступного инструментария можно посмотреть на вкладках. Kernel Detective взаимодействует с системой через свой драйвер, который очень не нравится некоторым антивирусам. Но это ложная тревога, все проверено и абсолютно безопасно. Из недостатков хочу отметить полное отсутствие самозащиты, процесс Kernel Detective можно обнаружить простейшим поиском по заголовку окна, а затем автоматически его прибить.

Kernel Detective 1.4.1

Kernel.Detective.1.4.1.zip (1,252,409 bytes)

Скриншот программы PowerTool

PowerTool - очень хороший инструмент, удачно объединяющий в себе функции предыдущих программ, а также расширяющие их новыми возможностями. Получился бы отличный инструмент, если бы не недостатки самозащиты. Но программа развивается, я уверен, что у этого проекта все еще впереди.

PowerTool 4.3

PowerTool.4.3.zip (1,011,263 bytes)

Скриншот программы Tuluka Kernel Inspector

Tuluka Kernel Inspector - сравнительно новая отечественная разработка. Эта утилита позволяет просматривать установленные системные хуки, изменения в SSDT, скрытые процессы, сервисы и драйвера, позволяет снимать дампы с процессов, в том числе и системных. Самозащита, к сожалению, полностью отсутствует. Но если активного противодействия со стороны вредоносов нет, то Tuluka Kernel Inspector станет неплохим помощником при анализе зараженной системы. Русский язык в наличии. Последнюю версию можно скачать с офсайта.

Tuluka Kernel Inspector 1.0.394.77

Tuluka.Kernel.Inspector.1.0.394.77.zip (2,893,650 bytes)

Скриншот программы XueTr

XueTr - китайский антируткит. Задумка хорошая, но реализация, на мой взгляд, слабовата. Можно использовать как запасной или вспомогательный вариант, если все вышеперечисленное не дало результата. Последняя версия на офсайте.

XueTr 0.45

XueTr.0.45.zip (1,294,674 bytes)

Скриншот программы IceSword

IceSword - китайская поделка, одна из самых первых программ такого типа. Работоспособна только на старых системах до Windows 7. Это, впрочем, можно даже считать плюсом, ведь современные инструменты не рассчитаны на работу, например, в Windows 2000. Так что может однажды пригодиться не только для пополнения коллекции.

IceSword 1.22

IceSword.1.22.zip (714,327 bytes)

Повторюсь, что это далеко не самая полная коллекция антируткитов. И надеюсь, что ни вам, ни мне не придется ими воспользоваться. Но, как поется в песне: "Мы мирные люди, но наш бронепоезд стоит на запасном пути".

Просмотров: 38708 | Комментариев: 22

Метки: безопасность

Внимание! Статья опубликована больше года назад, информация могла устареть!

Пробовал запускать на разных машинах, но все перечисленные программы выдают одну и ту же ошибку "Load Driver Error!".
И на Win10 пробовал и на Win7.... Старички может кто подскажет что же не так?

Дима (13.06.2015 в 10:27):

Сука ты, вирус

ManHunter (09.10.2014 в 14:00):

Полезная штука, пригодится.

Drongo (09.10.2014 в 13:54):

Парсер логов GMER - http://safezone.cc/resources/p...ja-drongo.23

Сева (18.02.2013 в 22:10):

Возможно, я не в курсе темы полностью, но с моей точки зрения стоило бы упомянуть AVZ4 — http://z-oleg.com/secur/avz/download.php

LonerD (14.02.2013 в 19:51):

Ещё существует 64-битная версия PowerTool:
http://code.google.com/p/power...wnloads/list
PC Hunter на базе XueTr:
http://www.xuetr.com/?p=191
Поддерживает Win 2000 ~ 8, плюс 64-битные 7 и 8.

ManHunter (31.01.2013 в 19:48):

Так он же есть в авторах, только под ником EP_X0FF

Kemper (31.01.2013 в 19:43):

аааа нашел - во память дырявая - EvilPhantasy

ManHunter (31.01.2013 в 19:43):

Kemper, к сожалению не знаю. А в About в разделе "благодарности" его нет? Неужели не упомянули?

Kemper (31.01.2013 в 19:39):

ManHunter, а непомнишь случайно ник автора RkUnhooker - ну первых версий - он помнится сам ее сваял а потом уже ребята подхватили толи fox... чегото там - он на нескольких антивирусных сайтах тему вел а потом пропал с горизонта к сожалению - я после прочтения его тем - лично для себя каспера перестал вообще за антивирус воспринимать )

Never (17.01.2013 в 00:08):

А как же 2 презерватива и ни какого секса? :-)

ManHunter (10.01.2013 в 12:06):

100% гарантии не дает ничего.

Wlad (10.01.2013 в 11:19):

А можно вопрос от дилетанта, Kaspersky (в частности internet security) не спасает от всего этого, если он установлен?

bigcatwar (07.01.2013 в 15:38):

Долгое осуЖдение о теме безопастности очень грузид моск!! Если верить самому себе то 1 Этап защиты отдан роутеру 2 антивирусу 3 зачистке с носителя!

ManHunter (29.12.2012 в 10:50):

Мимоход, видел такую, знаю. Но разбираться в километре консольного лога как-то напрягает. Вроде бы кто-то уже спрашивал парсер логов для этого чуда, но автор, как я понимаю, делать его не планирует.

Мимоход (29.12.2012 в 07:52):

http://redplait.blogspot.ru/se...bel/wincheck

единственная, работающая под x64 (с отключенной проверкой подписи драйвера).
over100500 методов детекта.

Musika (28.12.2012 в 20:06):

Приветствую,

спасибо, полезно.

С наступающим Новым Годом !

==DJ==[ZLO] (28.12.2012 в 19:55):

Приветствую! Интересно бы их протестить на "вшывость"
hТТp://www.ntinternals.org/dll_detection_test.php
hТТp://www.ntinternals.org/anti_rootkits.php

ManHunter (28.12.2012 в 17:13):

brute, загружаешься с любого LiveCD и удаляешь весь шлак легким движением руки.

brute (28.12.2012 в 17:12):

у меня вместо всех антивирусов стоит AnVir Task Manager. Он паказывает процессы, службы, драйвера и.т.п. с возможностью завершения/останова и контолирует автозагрузку на добавление новых записей. Для отлова скрытых процессов не раз помогала тузла Process Hunter от Ms-Rem'а. Также довольно мощная прога SysInspector от ESET. В качестве пожелания хотелось бы увидеть статью/тузлы о создании и удалении неудаляемых файлов из-за отсутствия прав доступа (такие файлы остаются после переустановки винды). Знаю, что их можно удалить через расширенные свойства файла путем наследования.. интересно, где хранится инфа об их принадлежности к другой учетке?

boozer (28.12.2012 в 14:38):

добавлю не самую худшую утилитку UVS
http://dsrt.dyndns.org/files/uvs_v376.zip

Добавить комментарий

Заполните форму для добавления комментария

Если программист в девять утра уже на работе, значит он там же и ночевал

Главная страница Web-мастеру и не только Образ мышления: Assembler Мои программы Software Темная сторона Силы Обзоры техники А еще я туда ем! Жизнь в оффлайне Всякая всячина

Карта сайта Ссылки Обратная связь Правила сайта Настройки сайта RSS-канал

Материалы, опубликованные на этом сайте, не рекомендуются к просмотру лицам в возрасте до 16 лет без присутствия взрослых.

Метки статей

Свернуть

Вам помог этот сайт?

Поблагодарили 34,326 раз

Национальный день донора крови

Всемирный день цирка

Нашли на сайте орфографическую ошибку? Выделите ее мышкой и нажмите

Ctrl

Enter

Буду очень благодарен, если размеcтите мою кнопочку:

<a href="https://www.manhunter.ru" target="_blank"><img src="https://www.manhunter.ru/images/button.gif" alt="Личный блог ManHunter'а" title="Личный блог ManHunter'а" width="88" height="31" /></a>

$Яндекс тИЦ: {YANDEX_TIC}$

Яндекс ИКС: 380

Сейчас я слушаю

---

- автообновление

Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2024
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.07 сек. / MySQL: 2 (0.004 сек.) / Память: 4.5 Mb

	2024 - АПРЕЛЬ
Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

Программы для обнаружения и удаления руткитов

Комментарии

Добавить комментарий