Zaawansowane narzędzie do wykrywania potencjalnie
niebezpiecznego oprogramowania typu rootkit. Autorem programu jest
Mark Russinovich znany m.in. z wykrycia głośnego rootkita
instalowanego w systemach DRM firmy Sony. RootkitRevealer poszukuje
w systemie Windows podmienionych API dostępu do rejestru i systemów
plików, które najczęściej wskazują na obecność rootkita
działającego w trybie użytkownika lub w trybie jądra. Podejrzane
procesy prezentowane są w formie szczegółowej listy zawierającej
lokalizację w Rejestrze systemowym lub ścieżkę na dysku, czas,
wielkość i opis. RootkitRevealer wykrywa wszystkie rootkity
opublikowane na stronie www.rootkit.com, m.in. AFX, Vanquish,
HackerDefender. Warto zwrócić uwagę, że nie są wykrywane takie
rootkity jak Fu, które nie ukrywają swojej obecności w
systemie.
Uwaga!1. Program przeznaczony dla osób posiadających odpowiednią
wiedzę informatyczną. Nie zalecamy programu niedoświadczonym
użytkownikom.
2. Elementów, które są prezentowane przez program nie należy
automatycznie klasyfikować jako rootkity. Ich usunięcie zalecamy
dopiero po szczegółowej analizie oraz wykonaniu kopii zapasowej
dysku twardego (lub przynajmniej systemowego Rejestru).
3. Program należy uruchamiać z konta użytkownika o uprawnieniach
administracyjnych.
4. Program nie występuje obecnie w wersji uruchamialnej z poziomu
wiersza poleceń. Powodem do zaniechania udostępniania wersji
działającej z linii poleceń jest fakt, że autorzy oprogramowania
typu malware zaczęli reagować na działający program RootkitRevealer
poprzez sprawdzenie jego nazwy. Dlatego obecnie RootkitRevealer
skanuje system poprzez zarejestrowanie swojej kopii jako usługa o
losowej nazwie. Ten typ uruchomienia nie sprzyja interfejsowi linii
poleceń, choć wciąż można uruchomić program z parametrami w celu
wywołania automatycznego skanowania i zapisania raportu do
pliku.