RootkitRevealer ist ein fortschrittliches Dienstprogramm zur Erkennung von Rootkits. Es läuft unter Windows NT 4 und höher und seine Ausgabe listet Registrierungs- und Dateisystem-API-Diskrepanzen auf, die auf das Vorhandensein eines User-Mode- oder Kernel-Mode-Rootkits hinweisen können.
RootkitRevealer erkennt erfolgreich viele hartnäckige Rootkits, einschließlich AFX, Vanquish und HackerDefender (Hinweis: RootkitRevealer ist nicht dazu gedacht, Rootkits wie Fu zu erkennen, die nicht versuchen, ihre Dateien oder Registrierungsschlüssel zu verstecken).
Da persistente Rootkits funktionieren, indem sie API-Ergebnisse so ändern, dass eine Systemansicht mit APIs von der tatsächlichen Ansicht im Speicher abweicht, vergleicht RootkitRevealer die Ergebnisse eines System-Scans auf der höchsten Ebene mit denen auf der niedrigsten Ebene. Die höchste Ebene ist die Windows-API und die niedrigste Ebene ist der rohe Inhalt eines Dateisystem-Volumes oder eines Registry-Hives (eine Hive-Datei ist das Speicherformat der Registry auf der Festplatte).
Daher werden Rootkits, egal ob im Benutzermodus oder im Kernelmodus, die die Windows-API oder die systemeigene API manipulieren, um ihre Präsenz beispielsweise aus einer Verzeichnisliste zu entfernen, von RootkitRevealer als Diskrepanz zwischen den von der Windows-API zurückgegebenen Informationen und den Informationen aus der Rohdatenprüfung der Dateisystemstrukturen eines FAT- oder NTFS-Volumes betrachtet.
.png){kind=icon}
