Обнаружить и удалить руткит

SysInternals прекратил обновлять RootKit Revealer пару лет назад.

Единственный надежный способ обнаружить руткит - выполнить автономное сравнение установленных файлов и метаданных файловой системы из списка надежных известных файлов и их параметров. Очевидно, вам нужно доверять машине, с которой вы выполняете сравнение.

В большинстве случаев использование загрузочного компакт-диска для запуска антивирусного сканера помогает большинству людей.

В противном случае вы можете начать с новой установки чего угодно, загрузить его с cdrom, подключить внешний диск, запустить скрипт perl для поиска и сбора параметров (size, md5, sha1), а затем сохранить параметры.

Чтобы проверить, запустите Perl-скрипт, чтобы найти и собрать параметры, а затем сравнить их с сохраненными.

Кроме того, вам потребуется Perl-скрипт для обновления ваших сохраненных параметров после обновления системы.

- Редактировать-- Обновление этого, чтобы отразить доступные методы. Если вы получите копию любого загрузочного компакт-диска восстановления (например, trinity или rescuecd) с обновленной копией программы "chntpasswd", вы сможете просматривать и редактировать реестр Windows в автономном режиме.

Вместе с копией списка запуска с castlecops.com вы сможете отслеживать наиболее распространенные точки запуска для наиболее распространенных руткитов. И всегда следите за вашими файлами драйверов и за хорошими версиями.

При таком уровне контроля вашей самой большой проблемой будет беспорядок в вашем реестре после удаления руткита и троянов. Обычно.

- Редактировать - и есть инструменты для Windows тоже. Но я описал инструменты, с которыми я знаком, и которые бесплатны и лучше документированы.