RooktKitRevealer是rootkit检测工具,包含在微软sysinternals工具集里,以下收集一些RootKitRevealer扫描结果中英文描述的中文解释,希望对有用到这个工具的朋友有点帮助,注意,以下内容仅供参考。
1、Hidden from Windows API.
很多rootkit木马文件扫出来后会出现该提示,要看被提示的文件有没有可疑。如果你没有选择“Hide NTFS metadata files”,对于NTFS元文件也会出现该描述,注意分辨。
2、Access is Denied
RootKitRevealer应该永远不会出现该提示,因为RootKitRevealer的进程可以访问任何文件、目录或者注册表键值。所以出现这条的话可以肯定是rootkit。
3、Visible in Windows API, directory index, but not in MFT.
Visible in Windows API, but not in MFT or directory index.
Visible in Windows API, MFT, but not in directory index.
Visible in directory index, but not Windows API or MFT.
进行一次扫描会扫描三个组件:the Windows API、 NTFS主文件表(the NTFS Master File Table (MFT))、 NTFS硬盘目录索引( the NTFS on-disk directory index structures)。以上描述说明该文件只在一个或两个扫描过程中被发现。一个比较常见的原因是一个文件在扫描的过程中被创建或删除。
4、Windows API length not consistent with raw hive data.(API的长度和原始单元数据记录的不一致)
rootkits能够尝试通过错报注册表键值的大小来实现对windows API的隐藏。应该仔细检查。
5、Type mismatch between Windows API and raw hive data(API类型不匹配)
注册表的值是有类型的,如DWORD/REG_SZ,这个差异说明通过windows API报告的键值类型和原始单元数据(raw hive data)不一致。一个rootkit可以通过存储为REG_BINARY类型来掩饰自己的数据,并且让windows API相信它是一个REG_SZ类型的。
6、Key name contains embedded nulls.(键名包含嵌入的空字符)
windowsAPI把键名看成空终止字符串(以‘/0’结尾),但是系统内核却把键名看做已计数字符串。所以可以创建一些对操作系统可见,但对部分注册表工具如Regedit不可见的键值。这种方式常常被一些恶意软件和rootkit采用来实现隐藏自己。你可以用Sysinternals RegDelNull tool来删除包含嵌入空字符的键。
7、Data mismatch between Windows API and raw hive data.
该差异会在注册表正在被扫描的时候键值被更改而产生。应该仔细检查以确保是一个正当的程序进行的更改。
以上内容参考:http://blog.csdn.net/pcliuguangtao/article/details/5908646。仅仅看RootKitRevealer的扫描结果并不能确定一定是木马存在,需要对具体的文件与注册表项进行检查,有的注册表键被windows系统调用而不断更新(比如产生随机数),可能会被RootKitRevealer扫出来有“ Data mismatch between Windows API and raw hive data”的提示,但这并不是木马的原因。所以RootKitRevealer只是检测工具,扫描结果是供大家参考,而不是固定的结论
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1512.html