RK檢測工具(Rootkit Unhooker)

Rootkit Unhooker是一款較新的RK檢測工具,來自俄羅斯.其檢測手段比IceSword可靠得多(雖然功能還不如IceSword齊全).有服務(wù)描述表鉤子檢測和恢復(fù),強(qiáng)大的進(jìn)程檢測,強(qiáng)大的驅(qū)動檢測,隱藏進(jìn)程殺除,API鉤子檢測,驅(qū)動轉(zhuǎn)儲,生成報(bào)告等等功能.
其檢測手段比IceSword可靠得多(雖然功能還不如IceSword齊全).
服務(wù)描述表鉤子檢測和恢復(fù) 強(qiáng)大的進(jìn)程檢測 強(qiáng)大的驅(qū)動檢測 隱藏進(jìn)程殺除 API鉤子檢測 驅(qū)動轉(zhuǎn)儲 生成報(bào)告

1.軟件界面為英文(低版本有中文文件,但不可用于高版本)
2. 支持以下操作系統(tǒng) Windows 2000 Professional SP4, Rollup 1 Windows XP Home/Professional SP1, SP2 Windows 2003 Server (all editions) SP1, SP2 Windows Vista Ultimate
3.為避免出錯(cuò),使用工具前關(guān)掉其他AntiRootkit工具以及帶主動防御的反病毒產(chǎn)品(如卡巴斯基)、HIPS軟件
4.軟件運(yùn)行需要管理員權(quán)限
5.要在安全模式下使用這個(gè)工具,在主界面選擇Setup->"Extended Mode"

主要功能：

SSDT掛鉤檢測，包含SDT鉤子卸載(unhooking) 　　
shadowSSDT掛鉤檢測，包含SSDT鉤子卸載(unhooking) 　　
隱藏進(jìn)程檢測，檢測隱藏的進(jìn)程（世界上最先進(jìn)的）檢測進(jìn)程的全路徑名 　　
隱藏進(jìn)程終止，包括使用PVASE強(qiáng)行殺死進(jìn)程 　　
隱藏進(jìn)程DUMP，重建文件以用于分析 　　
隱藏驅(qū)動檢測，檢測隱藏的驅(qū)動 　
隱藏驅(qū)動DUMP，為選擇的驅(qū)動構(gòu)建一個(gè)dump文件 　　
系統(tǒng)線程運(yùn)行分析，掛起的系統(tǒng)模式下的線程執(zhí)行的信息 　
IRP掛鉤檢測，在隱藏驅(qū)動檢測的"References"列進(jìn)行查找 　　
代碼掛鉤檢測，檢測代碼中的基于API的掛鉤 　　
隱藏庫檢測，代碼掛鉤檢測頁的一部分。顯示隱藏庫的地址（檢測到的情況下） 　　
隱藏文件檢測，包含檢測硬盤上使用Windows API隱藏的文件。支持的文件系統(tǒng)：FAT32 and NTFS 　　
更新程序，能夠連接到服務(wù)器進(jìn)行程序更新 　　
報(bào)告產(chǎn)生，自動產(chǎn)生一個(gè)包含所有需要的信息的報(bào)告 　　
進(jìn)程自保護(hù)，包含多種方法，使得能夠不收操作系統(tǒng)的影響。