Dernier Rootkit Revealer
RootkitRevealer est un utilitaire de détection de rootkit avancé. Il fonctionne sur Windows NT 4 et supérieur, et ses listes de sortie de registre et l'API du système de fichiers divergences qui peuvent indiquer la présence d'un mode utilisateur ou en mode noyau rootkit.
RootkitRevealer détecte avec succès de nombreux rootkits persistants, notamment AFX, Vanquish et HackerDefender (note: RootkitRevealer n'est pas destiné à détecter les rootkits comme Fu qui n'essaient pas de cacher leurs fichiers ou clés de registre).
Depuis rootkits persistants travail en modifiant les résultats de l'API de sorte qu'une vue du système en utilisant des API diffère de la vue réelle dans le stockage, RootkitRevealer compare les résultats d'une analyse du système au plus haut niveau avec ce au niveau le plus bas. Le plus haut niveau est l'API Windows et le niveau le plus bas est le contenu brut d'un volume de système de fichiers ou ruche du Registre (un fichier ruche est le format de stockage sur disque de la greffe).
Ainsi, les rootkits, si le mode utilisateur ou en mode noyau, qui manipulent l'API Windows ou API native pour éliminer leur présence à partir d'une liste de répertoire, par exemple, seront considérés par RootkitRevealer comme une divergence entre les informations renvoyées par l'API Windows et que vu dans le scan brut des structures du système de fichiers d'un volume FAT ou NTFS.