# Форум на русском языке  > Решения по информационной безопасности  > Антивирусы  > Антируткиты  >  RootkitRevealer

## Dr.Xmas

на известном сайте microsoft выложен проект, посвящённый поиску руткитов. *подробнее*

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## kps

1) Если я правильно понял из описания - эта утилита может только детектировать руткиты (и то - как они признаются - не все), но не может их обезвредить.
2) It runs on Windows NT 4 and higher. 
  А есть руткиты, которые прекрасно работают под Win98  :Smiley:

----------


## Зайцев Олег

> 1) Если я правильно понял из описания - эта утилита может только детектировать руткиты (и то - как они признаются - не все), но не может их обезвредить.
> 2) It runs on Windows NT 4 and higher. 
>   А есть руткиты, которые прекрасно работают под Win98


Угу, я сначал пошел по пути Sysinternals, но потом плюнул, т.к.
1. Мало найти, нужно еще и обезвредить (а это намного сложнее)
2. Не все руткиты прячут свои файлы/ключи - многие блокируют их удаление (но не прячут). Более того, "прятанье" идет зачастую на разном уровне и для разных функций
3. Масса "руткитов" (точнее троянов с руткит-функцией) универсальна, и работает в Win98 - такой принцип детектирования там не проходит.
4. Драйвер не дает гарантии от перехвата SDT ...

А так программа работает, как и все от SysInternals ... приницип типовой - построение списка файлов/ключей реестра средствами API и напрямую через драйвер.

----------


## egik

ну допустим она там, что-то нашла и что дальше?

----------


## Зайцев Олег

> ну допустим она там, что-то нашла и что дальше?


Дальше это нужно распечатать список наденного, снять HDD, подключить его к чистому ПК и попробовать найти указанные файлы. Иного пути в случае с RootkitRevealer нет, т.к. он детектирует маскирующиеся файлы, но не может блокировать работу руткита. Можно попробовать далее запустить мой AVZ и скомандовать ему блокировать руткит - есть неплохие шансы, что он его деактивирует ... кстати, AVZ и RootkitRevealer в этом плане отлично дополняют друг друга, т.к. в них применяются совершенно разные технологии поиска руткитов.

----------


## egik

а переустановка системы, помогает?
а пока запущу твой АВЗ   :Smiley:

----------


## Зайцев Олег

> а переустановка системы, помогает?
> а пока запущу твой АВЗ


Переустановка поверх - нет, а вот удаление системы (желательно с форматирование диска, но как минимум удаление папки Windows и ProgramFiles) - да. Но только перед радикальными мерами нужно сначала понять, руткит ли это - стоит запостить логи RootkitRevealer + AVZ сюда на анализ ...

----------


## egik

сделаю, вот АВЗ молчит ничего не находит,  ???

----------


## Зайцев Олег

> сделаю, вот АВЗ молчит ничего не находит,  ???


Может тогда и нет ничего ?? У меня на чистом ПК RootkitRevealer находит штук 30 якобы скрытых ключей реестра. Так что однозначно нужен его лог, посмотрим ... тут как и с моим антикейлоггером в AVZ - фиксируется факт того, что что-то не так - а делее нужно анализировать, с чем это связано и насколько это опасно.

----------


## Гость

Что значит "ошибка загрузки драйвера"? Какого драйвера?
Из лога АВЗ:
"1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана"

----------


## Зайцев Олег

> Что значит "ошибка загрузки драйвера"? Какого драйвера?
> Из лога АВЗ:
> "1.2 Поиск перехватчиков API, работающих в KernelMode
> Ошибка загрузки драйвера - проверка прервана"


В данном случае понимается сдрайвер AVZ.SYS, применяемый AVZ для совершений операций в режимя ядра. Причины - старый AVZ, запуск AVZ с сетевого диска, запуск не из под админа (не хватает прав для установки/запуска драйвера) ...

----------


## Гость

Если в АВЗ выбрать "Блокировать работу RootKit Kernel-Mode", то после перезагрузки восстанавливается нормальная работа антивирусов, фаерволов и т.д.?

----------


## pig

Восстанавливается. Всё противодействие происходит исключительно в оперативной памяти, долговременные настройки не меняются.

----------

