Растет также список автономных инструментов для обнаружения и удаления компонентов rootkit. В данной публикации приводится список автономных инструментов обнаружения и удаления, известных автору.

Инструменты расположены в алфавитном порядке и будут полезным добавлением к набору по обеспечению безопасности любого администратора. Как и при борьбе с вирусами и средств шпионажа, использование нескольких программ обнаружения и удаления rootkit может быть удачным решением, так как не каждый инструмент обнаруживает и удаляет все опасные компоненты.

Из инструментов, приведенных в списке, я использовал RootkitRevealer, F-Secure BlackLight, Sophos Anti-Rootkit и IceSword. Все они происходят из известных мне источников, в той или иной степени заслуживающих доверия.

Некоторые инструменты в списке (GMER, DarkSpy и Rootkit Unhooker) вызывают интерес, но я не имею представления об их авторах, и на соответствующих Web-узлах отсутствует достаточная информация. Поэтому, хотя они вошли в список, их следует использовать осмотрительно.

Несомненно, существуют и другие, неизвестные мне инструменты; я буду благодарен за сведения о таких программах. Пользователи, которым приходилось работать с одним из перечисленных ниже инструментов, могут присылать свои отзывы по электронной почте.

Бета-версия BitDefender RootkitUncover, компания SoftWin
В настоящее время инструмент представлен бета-версией и выглядит перспективно, в частности, потому, что выпущен компанией SoftWin, поставщиком программы BitDefender.
http://list.windowsitpro.com/t?ctl=369CC:21BD1

DarkSpy, компания DarkSpy Security Group
Инструмент подготовлен группой китайских исследователей проблемы безопасности, с которыми я не знаком. На загрузочной странице содержится предупреждение, что вся ответственность за применение программы возлагается на пользователя. Предупреждение заслуживает внимания, хотя в пользу инструмента свидетельствует недавнее упоминание о нем в дневнике Handler's Diary центра SANS Internet Storm Center. Прочитать отзыв можно, щелкнув на втором URL под опубликованной ниже информацией о программе Helios.
http://list.windowsitpro.com/t?ctl=369DB:21BD1

F-Secure BlackLight
Срок действия этого пробного автономного инструмента периодически завершается к определенной дате (у данного выпуска - 1 октября). Программа является стандартным компонентом пакета Internet Security 2006 компании F-Secure.
http://list.windowsitpro.com/t?ctl=369D6:21BD1

GMER, неизвестный независимый польский разработчик
Информацию об авторе этого инструмента отсутствует, но на Web-узле опубликовано несколько снимков экрана и фильмов (в форматах .wmv и .avi) данного инструмента в действии. Поэтому легко составить себе хорошее представление об инструменте перед его использованием.
http://list.windowsitpro.com/t?ctl=369EB:21BD1

Helios, компания MIEL e-Security
Новый многообещающий инструмент в настоящее время представлен альфа-версией. Хорошее представление о Helios можно получить, прочитав отзыв в дневнике SANS Handler's Diary от 26 июля (второй URL ниже), в котором приведены экранные снимки инструмента в действии.
http://list.windowsitpro.com/t?ctl=369E9:21BD1
http://list.windowsitpro.com/t?ctl=369DF:21BD1

IceSword, группа Xfocus Team
IceSword оказался полезен многим администраторам безопасности. Xfocus - группа китайских исследователей проблемы безопасности. Сайт выполнен на китайском языке, но с помощью механизма Babel Fish Translation компании AltaVista (второй URL ниже) можно получить английский перевод. С помощью Babel Fish можно перевести и китайскую документацию.
http://list.windowsitpro.com/t?ctl=369E6:21BD1
http://list.windowsitpro.com/t?ctl=369EC:21BD1

RKDetector, автор Miguel Tarasco Acuna
В наборе инструментов два компонента: анализатор файловой системы и анализатор таблицы Import Address Table (IAT). Анализатор файловой системы сканирует файловую систему и реестр, а анализатор IAT просматривает пространство памяти в поисках изменений, которые позволяют компонентам rootkit внедриться в систему. Снимки экрана дают хорошее представление о том, как выглядит инструмент.
http://list.windowsitpro.com/t?ctl=369EA:21BD1

RootKit Hook Analyzer, проект Resplendence Software
Большинство инструментов обнаружения rootkit проверяют процедуры подключения (hook) к ядру, файловую систему, реестр, учетные записи пользователя и другие элементы, но этот инструмент ориентирован исключительно на процедуры подключения к ядру.
http://list.windowsitpro.com/t?ctl=369E1:21BD1

RootkitRevealer, компания Sysinternals
Инструмент, подготовленный Марком Руссиновичем и Брайсом Когсвеллом, двумя очень известными специалистами по Windows.
http://list.windowsitpro.com/t?ctl=369D4:21BD1

Rootkit Unhooker, от UG North
Информация об UG North совершенно отсутствует, но инструмент выглядит перспективным. Он проверяет нежелательные процессы и системные процедуры подключения, и помогает завершить эти процессы.
http://list.windowsitpro.com/t?ctl=369E7:21BD1

Sophos Anti-Rootkit
Автономный инструмент представлен версиями с графическим интерфейсом и командной строкой. Для борьбы с rootkit используется технология, аналогичная используемой в программе Sophos Anti-Virus for Windows.
http://list.windowsitpro.com/t?ctl=369D0:21BD1

System Virginity Verifier, FLISTER и KLISTER, автор - Джоанна Рутковска
Проверяет скрытые файлы и различные системные компоненты, которые могут быть изменены при использовании различных методов rootkit. Приводится исходный текст. Рутковска - хорошо известный исследователь.
http://list.windowsitpro.com/t?ctl=369E0:21BD1

UnHackMe, компания Greatis Software
В отличие от всех остальных инструментов в этом списке, которые предоставляются бесплатно, начальная цена UnHackMe - 19,95 долл. за одну лицензию. Заинтересованные пользователи могут познакомиться с экранными снимками и загрузить рабочую демонстрационную версию.
http://list.windowsitpro.com/t?ctl=369E8:21BD1

Поделитесь материалом с коллегами и друзьями