Zdjęcia
RootkitRevealer to zaawansowane narzędzie do wykrywania rootkitów. Działa w systemie Windows NT 4 i nowszych, a jego dane wyjściowe zawierają rozbieżności rejestru i interfejsu API systemu plików, które mogą wskazywać na obecność rootkita trybu użytkownika lub trybu jądra.
RootkitRevealer z powodzeniem wykrywa wiele trwałych rootkitów, w tym AFX, Vanquish i HackerDefender (uwaga: RootkitRevealer nie jest przeznaczony do wykrywania rootkitów takich jak Fu, które nie próbują ukrywać swoich plików ani kluczy rejestru).
Ponieważ trwałe rootkity działają poprzez zmianę wyników API, tak aby widok systemu przy użyciu interfejsów API różnił się od rzeczywistego widoku w pamięci, RootkitRevealer porównuje wyniki skanowania systemu na najwyższym poziomie z tym na najniższym poziomie. Najwyższym poziomem jest interfejs API systemu Windows, a najniższym poziomem jest surowa zawartość woluminu systemu plików lub gałęzi rejestru (plik gałęzi jest formatem przechowywania na dysku rejestru).
Zatem rootkity, czy to tryb użytkownika, czy tryb jądra, które manipulują interfejsem API systemu Windows lub natywnego interfejsu API w celu usunięcia ich obecności z listy katalogów, będą na przykład postrzegane przez RootkitRevealer jako rozbieżność między informacjami zwracanymi przez interfejs API systemu Windows a tymi, które są widoczne podczas surowego skanowania struktur systemu plików woluminu FAT lub NTFS.
