工具介紹,主要功能,
工具介紹
Rootkit Unhooker LE (RkU)是一個高級的rootkit檢測/刪除工具,專門為高級用戶和IT專家設計開發。它運行在32位的Windows 2000,Windows XP,Windows 2003 Server,Windows Vista和Windows 2008 Server作業系統平台上。
為了避免可能出現的問題,請不要在RKU運行時,啟動其它任何的rootkit檢測工具。
RkU已經在如下Windows版本做過完整的測試:
■Windows 2000 Professional SP4, Rollup 1
■Windows XP Home/Professional SP1, SP2, SP3
■Windows 2003 Server (all editions) SP1, SP2
■Windows Vista Ultimate, SP1
■Windows 2008 Server
主要功能
■SSDT掛鈎檢測
包含SDT鉤子卸載(unhooking)
■shadowSSDT掛鈎檢測
包含SSDT鉤子卸載(unhooking)
■隱藏進程檢測
檢測隱藏的進程(世界上最先進的)檢測進程的全路徑名
■隱藏進程終止
包括使用PVASE強行殺死進程
■隱藏進程DUMP
重建檔案以用於分析
■隱藏驅動檢測
檢測隱藏的驅動
■隱藏驅動DUMP
為選擇的驅動構建一個dump檔案
■系統執行緒運行分析
掛起的系統模式下的執行緒執行的信息
■IRP掛鈎檢測
在隱藏驅動檢測的"References"列進行查找
■代碼掛鈎檢測
檢測代碼中的基於API的掛鈎
■隱藏庫檢測
代碼掛鈎檢測頁的一部分。顯示隱藏庫的地址(檢測到的情況下)
■隱藏檔案檢測
包含檢測硬碟上使用Windows API隱藏的檔案。支持的檔案系統:FAT32 and NTFS
■更新程式
能夠連線到伺服器進行程式更新
■報告產生
自動產生一個包含所有需要的信息的報告
■進程自保護
包含多種方法,使得能夠不收作業系統的影響。包含內部完整性檢查
在Windows安全模式下運行需要配置在Setup選單配置"Extended Mode"
RkU需要管理員許可權去運行和使用