HOANG ANH

Giới thiệu
RootkitRevealer (RKR) là một trong các công cụ dò tìm rootkit đầu tiên của Mark Russionovich và Bryce Cogswell của Winternals (bây giờ là một bộ phận của Microsoft). Nó bị giới hạn trong phạm vi nhất định dù được update khá thường xuyên. Phiên bản gần đây nhất ra đời tháng 11 năm 2006 ở Mỹ. Russinovich và Cogswell là các chuyên gia kỹ thuật Windows trong chi nhánh. Ứng dụng dò tìm rootkit này sẽ tiếp tục được update, ít nhất là trong thời gian hiện tại.

RookitRevealer chỉ quét trên đĩa cứng chứ không quét bộ nhớ. Nhưng cơ chế quét ổ cứng thực sự rất mạnh.

RKR khá đơn giản trong sử dụng. Chỉ cần mở nó ra (không đòi hỏi phải cài đặt), kích "Scan", nó sẽ lặp lại qua Registry, hệ thống file để tìm bất kỳ xâm phạm nào từ hệ điều hành. Chương trình sẽ đưa ra một số cảnh báo lỗi sai mặc định, hầu hết trong lĩnh vực Security (bào mật) của Registry, được chú thích chi tiết và dễ dàng lờ đi.

Kết quả được hiển thị trong báo cáo mở, nhưng không thể đưa ra hoạt động nào để xử lý các phần tử bị phát hiện trong bản thân chương trình. Ví dụ, bạn không thể kích phải chuột lên một file đáng ngờ và đánh dấu xoá. Muốn có hoạt động bạn phải hoàn toàn thực hiện theo cách riêng khác, có thể sẽ khó khăn nếu phải xử lý một file hay chương trình được đội lốt file hợp pháp.

Tài liệu hướng dẫn của RKR chỉ ra rằng, nó không được thiết kế để dò tìm các rootkit tự đội lốt khác trong bộ nhớ như Fu (nó không tìm được rootkit này). Chương trình sẽ kiểm tra cụ thể từng phần để xem liệu có cái gì đang cố gắng tự xâm nhập vào file hệ thống hoặc Registry. Ở khía cạnh này nó bị giới hạn.

Ứng dụng này có thể dò tìm dấu hiệu của hai rootkit khác, cũng không tệ lắm. Nhưng muốn quét nâng cao và khả năng định nghĩa nhiều hoạt động hơn trước rootkit, RKR chưa thể đáp ứng tốt như nhiều ứng dụng khác.


download :