RootkitRevealer

RootkitRevealer简介

RootkitRaler是一款高级otkit检测工具，支持运行WindowsWindows XP32位和Windows Server 2003 32位。它的输出列出了注册表和文件系统API之间的差异，这可能表明存在用户模式或内核模式otkit。RootkitRaler已经成功检测到了许多持久性rootkits，包括AFX、格格和HackerDefender。RootkitRaler的设计不是为了检测像Fu这样不试图隐藏文件或注册表项的rootkits。之所以不再提供命令行版本，是因为恶意软件作者已经开始用它的可执行文件名扫描RootkitRaler，所以系统更新了RootkitRaler，从它自己作为Windows服务运行的随机命名副本进行扫描。这种执行方法不利于命令行界面。用户可以使用命令行选项执行自动扫描，并将结果记录到文件中，相当于命令行版本的行为！

RootkitRaler软件功能

术语otkit用于描述恶意软件试图阻止程序运行间谍软件的各种机制和技术。

包括病毒、间谍软件和特洛伊木马。

在防病毒和系统管理实用程序中隐藏它们的存在。

Otkit根据恶意软件重启后能否存活，是在用户模式下执行还是在内核模式下执行，分为几类。

永久Rootkit

永久Rootkit是一种与恶意软件相关的软件，每次启动时都会被激活。

因为这种恶意软件包含的代码必须在每个系统启动或用户登录时自动执行。

所以他们必须将代码存储在持久存储中。

例如注册表或文件系统，并配置一个方法来执行代码，而无需用户干预。

RootkitRaler软件特色

基于内存的Rootkit基于内存的Rootkit是没有持久代码的恶意软件，重启后无法幸免。

用户模式Rootkits Rootkits

尝试各种方法避免被发现。

例如，用户模式otkit可能会阻止对Windows findfirst file/FindNextFile API的所有调用。

文件系统发现实用程序(包括资源管理器和命令提示符)使用这些文件来枚举文件系统目录的内容。

当应用程序执行目录列表时，如果目录列表返回包含识别与otkit相关联的文件的条目的结果

Otkit截取并修改输出以删除条目。

本机窗口应用编程接口充当用户模式客户端和内核模式服务之间的接口。

更复杂的用户模式otkit截取本机API的文件系统、注册表和进程枚举函数。

这可以防止将Windows API枚举的结果与本机API枚举返回的结果进行比较的扫描器检测到。

内核模式Rootkit

内核模式的Rootkit可以更强大，因为它们不仅可以在内核模式下拦截本机API

也可以直接作为内核模式的数据结构。

隐藏恶意软件进程存在的一种常见技术是从内核的活动进程列表中删除该进程。

因为流程管理API依赖于列表的内容

因此，恶意软件进程不会显示在进程管理工具中，如任务管理器或Pcess Explorer。

RootkitRaler软件优势

RootkitRaler是如何工作的

由于持久otkit通过更改API的结果来工作，因此使用API的系统视图与存储中的实际视图不同。

因此，RootkitRaler会将最高级别的系统扫描结果与最低级别的系统扫描结果进行比较。

最高级别是Windows API，最低级别是文件系统卷或注册表配置单元的原始内容。

配置文件是注册表的磁盘存储格式。

RootkitRaler将从目录列表中删除rootkit垂直Windows API或本机API。

将被视为Windows API返回的内容与它在FAT或NTFS卷的文件系统结构的原始扫描中看到的内容之间的差异。

RootkitRaler可以隐藏RootkitRaler吗理论上，RootkitRaler可以隐藏RootkitRaler。

这样做需要拦截RootkitRaler对注册表配置单元数据或文件系统数据的读取。

并更改数据的内容，以便没有otkit注册表数据或文件。

然而，这将需要一定程度的复杂性，这是Rootkit迄今为止还没有的。

更改数据需要深入了解NTFS、FAT和注册表配置单元格式。

您还需要能够更改数据结构来隐藏otkit。

但不会导致不一致或无效的结构或副作用差异。

由RootkitRaler标记。

没有办法知道Rootkit的存在。

通常，不是从运行的系统。内核模式下的Otkit可以控制系统行为的任何方面。

因此，API返回的任何东西都可能被损坏。

包括由RootkitRaler执行的注册表配置单元和文件系统数据的原始读取。

尽管比较系统的在线扫描和安全环境下的离线扫描更好(例如引导至基于光盘的系统安装)

但是otkit可以瞄准这些工具来避免甚至检测它们。

最重要的是，永远不会有通用的otkit扫描仪。

但最强大的扫描仪将是与反病毒集成的在线/离线比较扫描仪。

RootkitRaler安装步骤

1.用户可以点击本网站提供的下载路径下载相应的程序安装包。

2.只需使用解压功能打开压缩包，双击主程序进行安装，弹出程序安装界面。

3.同意上述协议的条款，继续安装应用程序，并单击同意按钮。

4.您可以根据自己的需要点击浏览按钮来更改应用程序的安装路径。

5.弹出如下界面，用户可以直接用鼠标点击下一步按钮。

6.桌面快捷键可以根据用户需求创建，也可以不创建。

7.现在准备安装主程序，单击安装按钮开始安装。

8.根据提示，点击安装，弹出程序安装完成界面，然后点击完成按钮。

RootkitRaler使用教程

使用RootkitRaler

RootkitRaler需要运行的帐户已被分配了“备份文件和目录”、“加载驱动程序”和“执行卷任务(在Windows XP及更高版本上)”的权限。默认情况下，管理员被分配这些权限。为了减少误报，请在空闲系统上运行RootkitRaler。

为了获得最佳效果，请退出所有应用程序，并在RootkitRaler扫描期间保持系统空闲。

手动扫描

要扫描系统，请在系统上启动系统，然后按扫描按钮。RootkitRaler扫描系统，在其窗口底部的状态区域报告其工作，并关注输出列表中的差异。您可以配置的选项:

隐藏NTFS元数据文件:默认情况下，此选项是启用的，RootkitRaler不显示标准的NTFS元数据文件，这些文件已经从窗口应用编程接口中隐藏。

扫描注册表:默认情况下，此选项处于启用状态。取消选中它可以阻止RootkitRaler执行注册表扫描。

开始自动扫描

RootkitRaler支持多种自动扫描系统选项:

用法:otkitraler [-a [-c] [-m] [-r]输出文件]

开始自动扫描参数描述

-自动扫描，完成后退出。

-C将输出格式设置为CSV。

-仪表显示NTFS元数据文件。

-r不要扫描注册表。

请注意，文件输出位置必须在本地卷上。

如果指定了-c选项，将不会报告进度，差异将以CSV格式打印，以便于导入数据库。您可以通过使用Sysnifiepsexec实用程序使用命令行扫描远程系统，如下所示:

pec remote-c otkitraler.exe-a c: windows system32 otkit . log

解释输出

这是RootkitRaler的截图，用来检测流行的HackerDefender otkit的存在。注册表项的不同表明存储HackerDefender的设备驱动程序和服务设置的注册表项对于Windows API是不可见的，而是存在于注册表配置单元数据的原始扫描中。同样，与HackerDefender关联的文件在Windows API目录扫描中是不可见的，而是存在于原始文件系统数据的扫描中。

你应该知道所有的区别，并确保它们表明otkit的可能性。不幸的是，没有办法根据输出来确定Rootkit是否存在，但是您应该报告所有的差异，以确保它们是可解释的。如果确定安装了otkit，请在互联网上搜索删除说明。如果您不确定如何删除otkit，您应该重新格式化系统硬盘并重新安装Windows。

除了以下关于RootkitRaler的可能差异之外，Sysinternals的RootkitRaler论坛还讨论了检测到的otkit和特定的假阳性。

对视窗应用编程接口隐藏

这些差异是大多数otkit显示的差异。但是，如果您没有选择隐藏NTFS元数据文件，您应该会在任何NTFS卷上看到许多这样的条目，因为NTFS对窗口应用编程接口隐藏了它的元数据文件，例如$ MFT和$安全。NTFS卷上现有的元数据文件因卷上启用的NTFS版本和NTFS功能而异。也有一些反病毒产品，比如卡巴斯基杀毒软件，利用otkit技术隐藏自己存储在NTFS备用数据流中的数据。如果您正在运行这样的病毒扫描程序，您将在每个NTFS文件上看到备用数据流的窗口应用编程接口的隐藏差异。RootkitRaler不支持输出过滤器，因为rootkits可以利用任何过滤器。最后，

这是自Windows Server 2003以来定义的NTFS元数据文件列表:

$ AttrDef

$ BadClus

$坏包括:$坏

$ BitMap

$开始

$ LogFile

$ Mft

$ MftMirr

$安全

$ UpCase

$ roll

$扩展

$扩展 $修复

$ Extend $ ObjId

$扩展名 $ UsnJrnl

$ Extend $ UsnJrnl:$ Max

$展开 $配额

拒绝访问。

RootkitRaler永远不应该报告这种差异，因为它使用的机制允许它访问系统上的任何文件、目录或注册表项。

在Windows API、目录索引中可见，但在MFT不可见。

在Windows API中可见，但在MFT或目录索引中不可见。

在MFT视窗应用编程接口中可见，但在目录索引中不可见。

在目录索引中可见，但在Windows API或MFT中不可见。

文件扫描包括三个部分:窗口应用编程接口、NTFS主文件表(MFT)和NTFS磁盘上的目录索引结构。这些差异表明文件只出现在一次或两次扫描中。常见的原因是文件是在扫描过程中创建或删除的。这是RootkitRaler针对扫描期间创建的文件的差异报告示例:

C: newfile.txt

2005年3月15日下午26时

8字节

在Windows API中可见，但在MFT或目录索引中不可见。

Windows API的长度与原始配置单元数据不一致。

Rootkit可以通过虚假表示注册表值的大小来试图隐藏自己，这样Windows API就看不到它的内容了。您应该知道任何这样的差异，尽管它也可能是由扫描期间注册表值的变化引起的。

窗口应用编程接口和原始配置单元数据之间的类型不匹配。

注册表值有DWORD和REG_SZ等类型，这种差异表明通过Windows API报告的值的类型与原始配置单元数据的类型不同。例如，otkit可以通过将其存储为REG _ NARY值，并由Windows API将其视为REG_SZ值来屏蔽其数据。如果0存储在数据的开头，Windows API将无法访问后续数据。

键名包含嵌入的空值。

Windows API将键名视为空终止字符串，而内核将键名视为计数字符串。因此，您可以创建一个对操作系统可见的注册表项，但仅对注册表工具(如Regedit)部分可见。Sysnipients的Reghide示例代码演示了这种技术，恶意软件和otkit使用它来隐藏注册表数据。使用SysnifierRegdelNull实用程序删除带有嵌入空值的键。

视窗应用编程接口和原始配置单元数据不匹配。

如果注册表值在注册表扫描期间更新，就会出现这种差异。经常更改的值包括时间，如Micsoft SQL Server正常运行时间值(如下所示)和病毒扫描程序的上次扫描值。您应该调查任何报告的值，以确保它们是有效的应用程序或系统注册表值。