对付HackerDefender 新招-RootkitRevealer

超级后门Hackerdefender应该说是大名鼎鼎, 查杀也比较头疼,最近发现www.sysinternals.com有一款好工具,不敢独享,写下此文。最新的版本RootkitRevealer1.4可以用来检测系统Windows系统里边是否运行着Rootkit,它通过分析注册表和系统API文件差异,能检测出来www.rootkit.com发布的所有rootkit,包括AFX、Vanquish、HackerDefender 等(注意:RootkitRevealer是不能够检测那些没有隐藏文件和注册表的Rootkit,比如FU_Rootkit)。
RootkitRevealer内包含GUI和命令行两个版本,其中命令行版本配合PsExec 可以执行远程扫描。 下面我们来看看如何使用,首先要注意的是运行RootkitRevealer需要Administrator权限。RootkitRevealer支持手工扫描和自动扫描2种方式。
Rootkit 一般认为是一种系统间谍、病毒、木马软件的集合,具有隐藏性非常好等特点,黑客可用来获取计算机的未经授权的远程访问权限,并发动其它攻击,能给用户带来严重安全威胁。
RootkitRevealer的使用:
(1)手工扫描
下图是RootkitRevealer界面,比较简单,直接点击scan就可以扫描系统啦。RootkitRevealer提供了以下2个选项:
隐藏NTFS中的元数据(Hide standard NTFS Metadata files): 该选项是默认选择的, RootkitRevealer默认不会显示NTFS中的元数据(元数据是存储在卷上支持文件系统格式管理的数据。它不能被应用程序访问,只能为系统提供服务)。
扫描注册表(Scan Registry):该选项是默认是选择的,如果没有选择,RootkitRevealer将略过注册表扫描。

(2)自动扫描
命令行的RootkitRevealer支持多种选项的自动扫描,使用方法如下:
rootkitrevealer [-a [-c] [-m] [-r] outputfile]
-a 自动扫描,扫描完毕后程序结束
-c 以CSV格式输出
-m 显示NTFS中的元数据
-r 略过注册表扫描
RootkitRevealer支持扫描远程主机,不过需要与Sysinternals的另外一个工具psexec配合使用,命令行如下:
psexec \\remote -c rootkitrealer.exe -a c:\windows\system32\rootkit.log
RootkitRevealer效果图
这是RootkitRevealer检测HackerDefender rootkit的截屏,利用RootkitRevealer我们可以很轻松的发现HackerDefender的保存在注册表中的驱动和服务的子键以及文件的存放地址。
通过RootkitRevealer扫描出的信息,你就可以确定你的机器被哪些Rootkit光顾了,不过RootkitRevealer并不能清除这些Rootkit,要清除Rootkit我们还需要借助于其它工具。
RootkitRevealer可以帮助我们方便的查找Rootkit,免的自己被卖了还帮别人数钱!使用RootkitRevealer之前,最好先用优化大师将注册表清理一下,免的信息太多反而将Rootkit遗漏了,如果你发现机器上有很多Rootkit的话,格式化硬盘然后重装系统或者GHOST回去是最好的选择哦。

作者: BB/晴天泡泡
来 源: 《黑客防线》

http://www.sysinternals.com/Files/RootkitRevealer.zip