RootkitRevealer v1.71 | Cerca per titolo, autore, parola chiave | ||||||||
RootkitRevealer v1.71 di Bryce Cogswell and Mark Russinovich. RootkitRevealer è una utility, per Windows XP ( 32 bit ) e Windows Server 2003 ( 32-bit ), che segnala le discrepanze, presenti nel registro di configurazione e nel filesystem, che indicano la presenza di un rootkit, in esecuzione in modalità user-mode o kernel-mode. RootkitRevealer non è utile a identificare la presenza di quei rootkit, quali Fu, che non tentano di tenere nascosti i loro file o le loro chiavi di registro. Il termine rootkit indica una tecnica, o meccanismo, in base alla quale i malware, i virus, gli spyware e i trojan cercano di nascondere la loro presenza alle applicazioni antivirus, antispyware e a tutte le utility di amministrazione del sistema. Un rootkit persistente ( persistent rootkit ) è intergrato in un malware, che viene eseguito ad ogni apertura del sistema operativo, e nasconde il suo codice o nel registro di configurazione o nel filesystem, configurando un qualche metodo che permetta di eseguirlo, senza alcun intervento, da parte dell'utente. I Memory-based rootkit sono i rootkit che vengono caricati in memoria e, quindi, non sopravvivono ad un reboot del sistema. Un user-mode rootkit intercetta tutte le chiamate alle funzioni API di Windows FindFirstFile e FindNextFile, usate dal sistema operativo per listare il contenuto delle directory ( sia in Explorer, sia al prompt dei comandi ). In questo modo, quando una delle due funzioni dovrebbe restituire il nome di un file appartenente al rootkit, quel nome non viene presentato all'utente. Un Kernel-mode rootkit, invece, è ancora più potente: non solo intercetta le chiamate alla nativa API, ma può anche modificare le strutture di dati, quali, ad esempio, la lista dei processi attivi. Dal momento in cui i rootkit persistenti modificano i risultati restituiti dalla API, ne consegue che i risultati restituiti dalla API dovranno differire dai risultati restituiti da una eventuale scansione di basso livello fatta sul disco fisso. RootkitRevealer esegue proprio questa comparazione: quello che RootkitRevealer ci svela è se esistono discrepanze tra l'immagine del disco che ci offre Windows API e l'immagine del disco che ci offre una scansione di basso livello ( che non utilizza Windows API ). Una eventuale discrepanza potrebbe ( da notare il condizionale: non è detto che sia così ) rivelare la presenza di un rootkit. Esistono versioni di RootkitRevealer per sistemi a 64 bit, o per Windows Vista e Windows 7? No. RootkitRevealer è un prodotto Sysinternals e il marchio Sysinternals è stato acquistato da Microsoft. Ad oggi, nessuna versione superiore è stata rilasciata.
|
|||||||||
RootkitRevealer v1.71 | Disclaimer: questo è un link a contenuti ospitati su server esterni. |