Антируткиты (Antirootkits)

[Don't.Care.A.Fig 15]

AntiHookExec, ApiHookCheck, KprocCheck, SDT Restore http://www.security.org.sg/

Antikit http://anti-virus.by/download_files/antikit.zip

AVG antirootkit http://www.softpedia.com/progDownload/AVG-...load-48738.html

Avira AntiRootkit Tool http://www.avira.com/en/support/support_downloads.html

AVZ http://z-oleg.com/secur/avz/

Archon Scanner http://www.antirootkit.com/software/Archon-Scanner.htm

BitDefender RootkitUncover http://download.bitdefender.com/windows/de...otkit-BETA2.exe http://www.softpedia.com/get/Antivirus/Bit...itUncover.shtml

BreakPE http://seconfig.sytes.net/breakpe

DarkSpy http://www.fyyre.net/~cardmagic

Detectproc http://www.kd-team.com/

FLISTER proof-of-concept, KLISTER, modGREPER, Patch Finder, System Virginity Verifier http://www.invisiblethings.org/tools.html

F-Secure BlackLight http://www.f-secure.com/blacklight/cure.shtml

GMER, Catchme http://www.gmer.net/ http://www.majorgeeks.com/GMER_d5198.html

HookExplorer http://labs.idefense.com/files/labs/releas...s/HookExplorer/

Helios, Helios Light http://helios.miel-labs.com/

IceSword http://202.38.64.10/~jfpan/

Kernel PS http://virusinfo.info/showthread.php?t=1330

McAfee Rootkit Detective http://vil.nai.com/vil/stinger/rkstinger.aspx http://www.majorgeeks.com/download5447.html

Packed Driver Detector http://www.misec.net/products/pdd/

Panda Antirootkit http://research.pandasoftware.com/blogs/re...it-cleaner.aspx

Process hunter http://www.wasm.ru/toollist.php?list=21#359

RAIDE http://www.rootkit.com/newsread.php?newsid=544

RegDellNull http://www.microsoft.com/technet/sysintern...RegDelNull.mspx

RegReveal http://www.geocities.jp/kiskzo/regreveal.html

RKDetect - Rootkit by anomaly detector http://securityvulns.ru/soft/rkdetect/

RKDetector http://www.rkdetector.com/

rootchk http://www.uploads.ejvindh.net/rootchk.exe

Rootkit Hook Analyzer http://www.resplendence.com/hookanalyzer/

RootkitRevealer http://www.microsoft.com/technet/sysintern...itRevealer.mspx

Rootkit Unhooker, Process Walker http://rkunhooker1.narod.ru/

SanityCheck http://www.resplendence.com/sanity

Safe'n'Sec Rootkit Detector http://www.safensoft.ru/security.phtml?c=17&id=1063

SafetyCheck http://yyuyao.googlepages.com/home

Seem http://3psilon.info/-Seem-System-Eyes-and-Ears.html

Sophos Anti-Rootkit http://www.sophos.com/products/free-tools/...ti-rootkit.html

SysProt AntiRootkit http://swatrant.blogspot.com/

Trend Micro RootkitBuster http://www.trendmicro.com/download/rbuster.asp

UnHackMe http://greatis.com/unhackme/faq.htm

VICE http://www.rootkit.com/project.php?id=20

Linux and other OS

chkrootkit http://www.chkrootkit.org/

OS X Rootkit Hunter http://mac.softpedia.com/get/Security/OS-X...it-Hunter.shtml

Rkscan http://www.hsc.fr/ressources/outils/rkscan/index.html.en

Rootkit Hunter http://www.rootkit.nl/projects/rootkit_hunter.html

Rootkit Profiler LX http://www.trapkit.de/research/rkprofiler/rkplx/rkplx.html

Rootkitty http://www.ubcd4win.com/forum/index.php?showtopic=2424

Unhide http://www.security-projects.com/?Unhide:Download

Zeppoo http://www.zeppoo.net/

Rootkit removal tools

Win32/Alman.C removal tool

http://global.ahnlab.com/global/file_remov...ame=v3alman.zip

Aries Sony Rootkit Remover

http://www.lavasoftusa.com/support/securit...kit_remover.php

Sony rootkit removal tool for Windows 2000/XP

http://www.norman.com/support/support_tools/69011/en

Gromozon related removal tools:

Automatic Gromozon Removal Tool http://411-spyware.com/remove-gromozon

Gromozon Remover Tool http://www.spywareremove.com/removeGromozon.html

Gromozon Rootkit Removal Tool http://thepiratebay.org/tor/3538707/Gromoz...it_Removal_Tool

Gromozon Rootkit Removal Tool http://www.prevx.com/gromozon.asp

Fixgrom http://pcalsicuro.phpsoft.it/FixGrom.exe

Haxdoor removal tools:

Haxfix http://forum.hijackthis.de/showthread.php?t=15448

Mebroot Removal Tool

http://www.symantec.com/content/en/us/glob.../FixMebroot.exe

http://download.softpedia.ro/dl/abdd485ef6.../FixMebroot.exe

Rustock (a,b,c) removal tools:

Greatis Rustock ( a,b,c ) Removal Tool http://greatis.com/security/Rustock(lzx32....emoval_tool.htm

Rustbfix http://www.uploads.ejvindh.net/rustbfix.exe

Win-Trojan/Rustock.Gen removal tool http://global.ahnlab.com/global/file_remov...rustock_gen.zip

Win-Trojan/Rustock removal tool http://global.ahnlab.com/global/file_remov...e=v3rustock.zip

Sinowal Cleaner

http://www.norman.com/support/support_tools/58733/en

[dr_dizel 385]

Hypersight Rootkit Detector (Hypersight RD) - программа для обнаружения вредоносной активности в режиме ядра ОС Windows NT.

Программа использует технологию аппаратной виртуализации Intel VT-x. Она работает в режиме гипервизора на процессорах Intel, поддерживающих эту технологию (в данный момент программа работает только на компьютерах с процессорами семейства Intel Core 2). При этом операционная система работает в виртуальной машине, а все критические события в ней контролируются ядром Hypersight RD. Действия, свойственные руткитам, перехватываются Hypersight RD после чего пользователь оповещается о них.

Поддерживаются: Windows 2000, Windows XP, Windows Server 2003.

----------------------------------------------------------------------------------

Руткитов у меня под ругой не было, но из подопытных программ спалились следующие все:

StarForce 4.70.10.1

Alcohol 52% 1.9.7.6221

Dr.Web Shield 4.44.1.03181

Spider 4.44.4.3190

При отключённой защите антируткита (только мониторинг) палился RootKit Unhooker 3.7.300.503, при включённой - BSOD-ился драйвер последнего.

[Maxth 10]

Avast! Antirootkit

[Groft 65]

У vba32, кстати, тоже есть антируткит. Очень удобная вещь, например то, что скрыто в системе пишется "hidden". Ну а пробить вирус ли это или нет дело не сложное.

[dr_dizel 385]

  Maxth сказал:

Avast! Antirootkit

"Я поставлю ему оценку: 2 из максимальных 5 - уровень антируткита Sophos." --EP_X0FF

P.S. [+] АнтиРуткиты: Невидимая Война

[vaber 350]

Вот наш достаточно свежий тест показывает ху есть ху:

http://www.anti-malware.ru/index.phtml?par...t=antirootkits1

[WindR 0]

Rootkit Unhooker, Process Walker http://rkunhooker1.narod.ru/

страница уже давно недоступна, подскажите где скачать последнюю версию

[dr_dizel 385]

  WindR сказал:

подскажите где скачать последнюю версию

http://antirootkit.com/software/RootKit-Unhooker.htm

[Сергей Ильин 1538]

Спасибо Don't.Care.A.Fig за отличный список существующих антируткитов.

Предлагаю всем высказаться о личных предпочтениях, опыте и рекомендациях, какой антируткит эффективнее/удобнее и почему.

[Александр Шабанов 120]

  Сергей Ильин сказал:

Спасибо Don't.Care.A.Fig за отличный список существующих антируткитов.

Не прошло и года

[WindR 0]

  dr_dizel сказал:

http://antirootkit.com/software/RootKit-Unhooker.htm

А где же заветная версия 4.1?

[dr_dizel 385]

  WindR сказал:

А где же заветная версия 4.1?

Её не дают в руки простым смертным.

[pROCKrammer 50]

Avira RootKit Detection -это очень удобная вещь. у моего друга как мой друг сказал он стока вещей нащёл)) и кстати ссылку на сайт не правельный дали они на страницу бета тестирования дали ))))))) http://betatest.avira.com/pages/index.php

[dr_dizel 385]

Обновлённая ссылка на потерявшегося:

Safe'n'Sec Rootkit Detector (RkTrap)

[Don't.Care.A.Fig 15]

DeepMonitor http://orkblutt.free.fr/deepmonitor-ff.php

G DATA RootKit Scanner (PublicBeta) http://www.gdata.de/support/DE/list/4/

Radix http://www.usec.at/rootkit.html

RootAlyzer http://forums.spybot.info/showthread.php?t=24185

[dr_dizel 385]

del

[dr_dizel 385]

RootRepeal

Version 1.3.5-Added: Bypassing of the latest TDSS variants.-Added: RootRepeal now shows the version on the About page.-Fixed: Some general bug fixes.Version 1.3.4-Fixed: Fixed multiple compatibility problems with Windows Vista SP2 and Windows Server 2008 SP2.Version 1.3.3-Added: Bypassing of the newer TDSS variants.  Even if errors show on startup, RootRepeal should still run correctly.-Improved: Initialization should now be compatible with all versions of Windows up to Windows Vista SP2, and more configurations.-Improved: Reduced false positives in Stealth Code scan - check the options dialog for more detail.-Fixed: Bug in unhooking DbgPrint callbacks on Windows-Fixed: Initialization bug on Windows Vista SP2.-Fixed: Internal speed improvements.-Fixed: Signature verification should now work correctly.Version 1.3.2-Added: Kernel-mode callbacks viewer and deleter.-Added: Shadow SSDT scan (with unhooking support).-Improved: Many bug fixes in the NTFS filesystem parser.-Improved: Startup - should be more compatible with additional configurations-Improved: Resource handling.-Improved: RootRepeal whitelists some files in the Stealth Objects scan, to reduce false positives.  You can control this in the Options dialog.-Fixed: Memory leak when verifying driver signatures.-Fixed: Multiple bugs in startup and the drivers scan.Version 1.3.0-Added: Additional disk reading method.  Please read the FAQ, above, for more details.-Added: Experimental support for verifying the digital signatures of drivers in the drivers scan.-Added: Advanced options for file removal.  Please do NOT use these unless you know what they do!-Added: Tool to wipe/copy/delete any file.-Added: A tool to delete registry keys (and all subkeys/values) that have had the permissions or owner changed.  Note: This will not delete rootkit-protected registry keys.-Improved: Safe mode support.  RootRepeal now fully supports Safe mode.-Fixed: Major bugs in program initialization and files scan.Version 1.2.3-Added: Stealth Objects scan (scans for hidden handles, threads, modules, kernel code and IRP handlers)-Added: Hidden Services scan.-Improved: Initialization speed and compatibility.-Added: RootRepeal can now fix MBR modifications caused by the Mebroot trojan.-Improved: Files scan speed.-Improved: Scan speed in the Drivers and Processes scan.-Fixed: Display names in the SSDT scan.-Fixed: Intermittant bug in the files scan.-Fixed: Bugs in handling some FAT32 directories.-Added crashdump reporting.Version 1.1.2-Improved: Initialization speed.-Fixed: Bugs in handling certain types of directories on NTFS.-Fixed: "Could not find kernel file on disk" bug on initialization.-Fixed: Bugs in scanning for hidden ADSs on NTFS.Version 1.1.1 -Fixed: Bug in the files scan that causes a crash.Version 1.1.0-Added: SSDT scan page.-Improved: Process scanning on Windows Server 2003 and Windows Vista.-Improved: Process scan internals on all versions of Windows.-Improved: Speed of the files scan.-Improved: Windows Vista SP0 and SP1 support.-Fixed: Bugs in the process scan.-Fixed: Various small bugs, user-interface bugs.-Fixed: Bypassing certain types of malware.-Fixed: Minor bug while using "Wipe File" on a directory.Version 1.0.2-Added: Showing whether a driver's file is hidden on-disk.-Added: Saving settings to a file.-Improved: "Report" tab - generating a condensed report.-Fixed: Process scan on Windows 2003 Server SP1+-Fixed: BSoD when starting files scan.-Fixed: Crashes while scanning NTFS partitions.-Fixed: Previously terminated processes showing as "hidden" in the processes scan.-Fixed: Bypassing malware that attempts to prevent raw-disk scanning.-Fixed: User-interface bugs.

Отредактировал Сентябрь 2, 2009 dr_dizel

[dr_dizel 385]

Cwalker - User Mode детектор скрытых процессов (концепт).

http://forum.sysinternals.com/forum_posts.asp?TID=15457

[dr_dizel 385]

Rootkit Unhooker LE 3.8.386.588 SR1

русский язык

[TANUKI 240]

Интересно, а разве антируткиты не входят в сами антивирусные пакеты, которые выпускают аваст, Нортон и т.д. В чем необходимость делать эти продукты отдельными? Или это для тех, кто юзает "чужой" антивирус?

[alisa_sh 35]

  TANUKI сказал:

Интересно, а разве антируткиты не входят в сами антивирусные пакеты, которые выпускают аваст, Нортон и т.д. В чем необходимость делать эти продукты отдельными? Или это для тех, кто юзает "чужой" антивирус?

1. у ВСЕХ АВ крайне слабые и бессистемные антируткит-компоненты. Есть несколько исключений уровня "лучшее из худшего", типа 2-3, но и они не дотягивают до актуальности современным угрозам.

Причем по большому счету, это не баг, а фича (точнее, прямое следствие самой бизнес-модели АВ-вендора).

- для комплексного продукта качественная борьба с миноритарным врагом не является первоприоритетной

- крупный софт более инертен в разработке; к нему выше требования в смысле стабильности, что усложняет цикл тестирования - как следствие, в плане противостояния cutting edge технологиям он заметно отстает от реальности

2. специализированная утилита может и должна быть профессиональной - в отличие от компонента АВ пакета для "простого пользователя", в котором глубокий функционал, требующий специальных знаний, не уместен.

это основные пункты. остальные проявятся, если задуматься, в чем суть отличий между "АВ вендором" и "производителем некоммерческой утилиты". разные мотиваторы, разные целевые аудитории, разные приоритеты и ресурсы..

[Илья Рабинович 521]

Угу, и ещё разное отношение к своим пользователям.

[cander 15]

  dr_dizel сказал:

Rootkit Unhooker

Интересно, кто сейчас этот проект развивает?

[Alex_Goodwin 81]

  cander сказал:

Интересно, кто сейчас этот проект развивает?

О программе посмотреть теперь не модно?

[cander 15]

  Alex_Goodwin сказал:

Цитата(cander @ 20.08.2008, 14:10)

Интересно, кто сейчас этот проект развивает?

О программе посмотреть теперь не модно?

Действительно О программе написаны теже. Прикольно там после благодарностей написано

Теперь вы часть ботнета Rustol.Z

Улыбнуло.