Ultima versione Rootkit Revealer
RootkitRevealer è un programma di utilità avanzato rilevamento dei rootkit. Funziona su Windows NT 4 e superiori e la sua lista di uscita del Registro di sistema e file system API discrepanze che possono indicare la presenza di una user-mode o kernel-mode rootkit.
RootkitRevealer rileva correttamente molti rootkit persistenti tra cui AFX, Vanquish e HackerDefender (nota: RootkitRevealer non è destinato a rilevare i rootkit come Fu che non tentano di nascondere i propri file o chiavi di registro).
Poiché rootkit persistenti lavoro modificando risultati API in modo che un sistema di visualizzazione utilizzando API differisce dalla vista reale in deposito, RootkitRevealer confronta i risultati di una scansione del sistema al più alto livello con quelle a livello più basso. Il livello più alto è l'API di Windows e il livello più basso è il contenuto prima di un volume di file system o del Registro di sistema hive (file hive è formato di archiviazione su disco del Registro).
Così, rootkit, sia in modalità utente o in modalità kernel, che manipolano l'API di Windows o API native per eliminare la loro presenza da un elenco di directory, ad esempio, sarà visto da RootkitRevealer come una discrepanza tra le informazioni restituite dalle API di Windows e che vede nella scansione grezzo delle strutture del file system di un volume FAT o NTFS.