RootkitRevealer

RootkitRevealer官方版是一款用于检测和清除恶意软件的rootkit检测工具。RootkitRevealer官方版能够检测和识别隐藏在计算机系统中的rootkit，并提供详细的报告，帮助用户了解系统中存在的威胁。RootkitRevealer官方版采用独特的检测技术，可以检测出常规安全软件无法发现的rootkit，并提供准确的清除工具，确保恶意软件被彻底清除。

RootkitRevealer软件特色

      基于内存的Rootkit基于内存的Rootkit是没有持久代码的恶意软件，因此无法在重新启动后幸免。

      用户模式Rootkits Rootkits

      尝试通过多种方法来逃避检测。

      例如，用户模式rootkit可能会拦截对Windows FindFirstFile / FindNextFile API的所有调用

      这些文件被文件系统探索实用程序(包括Explorer和命令提示符)用来枚举文件系统目录的内容。

      当应用程序执行目录列表时，如果该目录列表返回包含标识与rootkit关联的文件的条目的结果

      则rootkit会拦截并修改输出以删除条目。

      Windows本机API充当用户模式客户端和内核模式服务之间的接口

      更复杂的用户模式rootkit拦截本机API的文件系统，注册表和进程枚举功能。

      这样可以防止将Windows API枚举结果与本机API枚举返回的结果进行比较的扫描程序进行检测。

      内核模式Rootkit

      内核模式Rootkit可以更加强大，因为它们不仅可以拦截内核模式下的本机API

      而且还可以直接操作内核模式数据结构。

      隐藏恶意软件进程存在的一种常用技术是从内核的活动进程列表中删除该进程。

      由于进程管理API依赖于列表的内容

      因此恶意软件进程将不会显示在任务管理器或Process Explorer之类的进程管理工具中。

RootkitRevealer软件功能

      rootkit用于描述各种机制和技术，恶意软件试图从间谍软件阻止程序

      包括病毒，间谍软件和特洛伊木马程序

      防病毒和系统管理实用程序中隐藏它们的存在。

      根据恶意软件在重启后是否还可以生存以及是否以用户模式或内核模式执行，rootkit有几种分类。

      永久性Rootkit

      永久性Rootkit是与恶意软件相关联的一个，每次启动时都会激活。

      由于此类恶意软件包含必须在每个系统启动时或用户登录时自动执行的代码

      因此它们必须将代码存储在持久存储中

      例如注册表或文件系统，并配置一种无需用户干预即可执行代码的方法。

RootkitRevealer软件优势

      由于持久性rootkit通过更改API结果来工作，因此使用API的系统视图与存储中的实际视图不同

      因此RootkitRevealer会将最高级别的系统扫描结果与最低级别的系统扫描结果进行比较。

      最高级别是Windows API，最低级别是文件系统卷或注册表配置单元的原始内容

      配置单元文件是注册表的磁盘存储格式

      RootkitRevealer会将Rootkit操纵Windows API或本机API从目录列表中删除它们的存在

      都将视为Windows API返回的信息与所看到的差异在FAT或NTFS卷的文件系统结构的原始扫描中。

      Rootkit可以从RootkitRevealer隐藏吗从理论上讲，Rootkit可以从RootkitRevealer隐藏。

      这样做将需要拦截RootkitRevealer对注册表配置单元数据或文件系统数据的读取

      并更改数据的内容，以便不存在rootkit的注册表数据或文件。

      但是，这将需要一定程度的复杂性，这是迄今为止Rootkit所没有的。

      更改数据既需要对NTFS，FAT和Registry配置单元格式有深入的了解

      还需要具有更改数据结构以隐藏rootkit的能力

      但不会导致不一致或无效的结构或副作用差异。

1.修正了其它bug；

2.优化了软件的兼容性。