Программы для обнаружения и удаления руткитов
Программы для обнаружения и удаления руткитов
Безопасности много не бывает. Я повторял эту фразу и буду повторять всегда. Но компьютерная безопасность состоит из множества различных параметров и рубежей, одно только их перечисление займет немало времени, не говоря уже о длинном списке программного и аппаратного обеспечения. В этой статье я собрал несколько наиболее, на мой взгляд, эффективных утилит для обнаружения и удаления руткитов и прочей хитрой вирусни под Windows. Это далеко не полный список, а, скорее, он-лайновый резерв на всякий случай. Обычно я таскаю их все на дежурной флешке, но мало ли, вдруг где понадобится, а чудо-флешки под рукой не будет. Сразу предупреждаю, что это достаточно специфический инструментарий, поэтому если не уверены в своих силах или не знаете что это и зачем, то просто проходите мимо.
Скриншот программы RkUnhooker
RkUnhooker - самая мощная, на мой взгляд, программа для обнаружения руткитов и борьбы с другими вредоносными программами. Позволяет обнаружить и снять перехваты таблицы SDT и кода, показывает все скрытые драйвера, процессы и файлы. Через RkUnhooker можно убивать файлы запущенных процессов, в том числе с перезаписью пустыми данными для предотвращения их повторного запуска, снимать дампы памяти процессов для анализа и многое другое. Хорошо защищается от внешнего воздействия и модификации своего файла. Русский язык в наличии. К сожалению, в настоящее время проект закрыт.
Скриншот программы GMER
GMER - еще одна неплохая утилита, имеет на борту такие инструменты, как мощный редактор реестра, показывающий скрытые ветки, редактор жесткого диска, просмотрщик и редактор секции автозапуска системы. Вместе с RkUnhooker получается отличная команда, дополняющая друг друга. GMER время от времени обновляется, так что самая последняя версия доступна по ссылке с офсайта.
Скриншот программы Kernel Detective
Kernel Detective - интересная утилита от крякерской команды AT4RE. Находится в стадии разработки, поэтому иногда на некоторых компьютерах может выбить систему в "экран смерти". Список доступного инструментария можно посмотреть на вкладках. Kernel Detective взаимодействует с системой через свой драйвер, который очень не нравится некоторым антивирусам. Но это ложная тревога, все проверено и абсолютно безопасно. Из недостатков хочу отметить полное отсутствие самозащиты, процесс Kernel Detective можно обнаружить простейшим поиском по заголовку окна, а затем автоматически его прибить.
Скриншот программы PowerTool
PowerTool - очень хороший инструмент, удачно объединяющий в себе функции предыдущих программ, а также расширяющие их новыми возможностями. Получился бы отличный инструмент, если бы не недостатки самозащиты. Но программа развивается, я уверен, что у этого проекта все еще впереди.
Скриншот программы Tuluka Kernel Inspector
Tuluka Kernel Inspector - сравнительно новая отечественная разработка. Эта утилита позволяет просматривать установленные системные хуки, изменения в SSDT, скрытые процессы, сервисы и драйвера, позволяет снимать дампы с процессов, в том числе и системных. Самозащита, к сожалению, полностью отсутствует. Но если активного противодействия со стороны вредоносов нет, то Tuluka Kernel Inspector станет неплохим помощником при анализе зараженной системы. Русский язык в наличии. Последнюю версию можно скачать с офсайта.
Скриншот программы XueTr
XueTr - китайский антируткит. Задумка хорошая, но реализация, на мой взгляд, слабовата. Можно использовать как запасной или вспомогательный вариант, если все вышеперечисленное не дало результата. Последняя версия на офсайте.
Скриншот программы IceSword
IceSword - китайская поделка, одна из самых первых программ такого типа. Работоспособна только на старых системах до Windows 7. Это, впрочем, можно даже считать плюсом, ведь современные инструменты не рассчитаны на работу, например, в Windows 2000. Так что может однажды пригодиться не только для пополнения коллекции.
Повторюсь, что это далеко не самая полная коллекция антируткитов. И надеюсь, что ни вам, ни мне не придется ими воспользоваться. Но, как поется в песне: "Мы мирные люди, но наш бронепоезд стоит на запасном пути".
Просмотров: 39103 | Комментариев: 22
Метки: безопасность
Внимание! Статья опубликована больше года назад, информация могла устареть!
Комментарии
Отзывы посетителей сайта о статье
ManHunter
(20.12.2023 в 12:23):
Весь этот софт под x86
buratino
(20.12.2023 в 12:13):
Пробовал запускать на разных машинах, но все перечисленные программы выдают одну и ту же ошибку "Load Driver Error!".
И на Win10 пробовал и на Win7.... Старички может кто подскажет что же не так?
И на Win10 пробовал и на Win7.... Старички может кто подскажет что же не так?
Дима
(13.06.2015 в 10:27):
Сука ты, вирус
ManHunter
(09.10.2014 в 14:00):
Полезная штука, пригодится.
Drongo
(09.10.2014 в 13:54):
Парсер логов GMER - http://safezone.cc/resources/p...ja-drongo.23
Сева
(18.02.2013 в 22:10):
Возможно, я не в курсе темы полностью, но с моей точки зрения стоило бы упомянуть AVZ4 — http://z-oleg.com/secur/avz/download.php
LonerD
(14.02.2013 в 19:51):
Ещё существует 64-битная версия PowerTool:
http://code.google.com/p/power...wnloads/list
PC Hunter на базе XueTr:
http://www.xuetr.com/?p=191
Поддерживает Win 2000 ~ 8, плюс 64-битные 7 и 8.
http://code.google.com/p/power...wnloads/list
PC Hunter на базе XueTr:
http://www.xuetr.com/?p=191
Поддерживает Win 2000 ~ 8, плюс 64-битные 7 и 8.
ManHunter
(31.01.2013 в 19:48):
Так он же есть в авторах, только под ником EP_X0FF
Kemper
(31.01.2013 в 19:43):
аааа нашел - во память дырявая - EvilPhantasy
ManHunter
(31.01.2013 в 19:43):
Kemper, к сожалению не знаю. А в About в разделе "благодарности" его нет? Неужели не упомянули?
Kemper
(31.01.2013 в 19:39):
ManHunter, а непомнишь случайно ник автора RkUnhooker - ну первых версий - он помнится сам ее сваял а потом уже ребята подхватили толи fox... чегото там - он на нескольких антивирусных сайтах тему вел а потом пропал с горизонта к сожалению - я после прочтения его тем - лично для себя каспера перестал вообще за антивирус воспринимать )
Never
(17.01.2013 в 00:08):
А как же 2 презерватива и ни какого секса? :-)
ManHunter
(10.01.2013 в 12:06):
100% гарантии не дает ничего.
Wlad
(10.01.2013 в 11:19):
А можно вопрос от дилетанта, Kaspersky (в частности internet security) не спасает от всего этого, если он установлен?
bigcatwar
(07.01.2013 в 15:38):
Долгое осуЖдение о теме безопастности очень грузид моск!! Если верить самому себе то 1 Этап защиты отдан роутеру 2 антивирусу 3 зачистке с носителя!
ManHunter
(29.12.2012 в 10:50):
Мимоход, видел такую, знаю. Но разбираться в километре консольного лога как-то напрягает. Вроде бы кто-то уже спрашивал парсер логов для этого чуда, но автор, как я понимаю, делать его не планирует.
Мимоход
(29.12.2012 в 07:52):
http://redplait.blogspot.ru/se...bel/wincheck
единственная, работающая под x64 (с отключенной проверкой подписи драйвера).
over100500 методов детекта.
единственная, работающая под x64 (с отключенной проверкой подписи драйвера).
over100500 методов детекта.
Musika
(28.12.2012 в 20:06):
Приветствую,
спасибо, полезно.
С наступающим Новым Годом !
спасибо, полезно.
С наступающим Новым Годом !
==DJ==[ZLO]
(28.12.2012 в 19:55):
Приветствую! Интересно бы их протестить на "вшывость"
hТТp://www.ntinternals.org/dll_detection_test.php
hТТp://www.ntinternals.org/anti_rootkits.php
hТТp://www.ntinternals.org/dll_detection_test.php
hТТp://www.ntinternals.org/anti_rootkits.php
ManHunter
(28.12.2012 в 17:13):
brute, загружаешься с любого LiveCD и удаляешь весь шлак легким движением руки.
brute
(28.12.2012 в 17:12):
у меня вместо всех антивирусов стоит AnVir Task Manager. Он паказывает процессы, службы, драйвера и.т.п. с возможностью завершения/останова и контолирует автозагрузку на добавление новых записей. Для отлова скрытых процессов не раз помогала тузла Process Hunter от Ms-Rem'а. Также довольно мощная прога SysInspector от ESET. В качестве пожелания хотелось бы увидеть статью/тузлы о создании и удалении неудаляемых файлов из-за отсутствия прав доступа (такие файлы остаются после переустановки винды). Знаю, что их можно удалить через расширенные свойства файла путем наследования.. интересно, где хранится инфа об их принадлежности к другой учетке?
boozer
(28.12.2012 в 14:38):
добавлю не самую худшую утилитку UVS
http://dsrt.dyndns.org/files/uvs_v376.zip
http://dsrt.dyndns.org/files/uvs_v376.zip
Добавить комментарий
Заполните форму для добавления комментария