Антируткиты

Различные инструменты для поиска и обезвреживания руткитов, буткитов и прочей «стойкой» к обычным методам хвори.

IceSword 1.22

7
20.02.2012
в

IceSword — инструмент для обнаружения скрытых файлов, записей в реестре, процессов и прочих элементов, используемых вредоносными программами для закрепления в системе. Это не антируткит в привычном понимании, но программа вполне пригодна для борьбы с руткитами и тяжело удаляемыми инфекциями.

Полный список подконтрольных элементов:

  • Процессы
  • Порты и сетевые подключения
  • Модули ядра
  • Автозагрузка
  • Службы
  • SPI
  • Полный контроль над реестром
  • Полной контроль над файловой системой

IceSword — довольно мощная утилита, которая способна нанести вред системе при неумелом использовании, используйте ее только в случае, если вы уверены в своих действиях.

Программа умеет делать импорт собранной информации в текстовый файл.
Имеет интуитивно понятный интерфейс.
Язык английский.
Стабильная работа гарантируется под Windows xp/2003/vista.
Работа под семеркой не проверялась, но теоретически она невозможна без дополнительных манипуляций с конфигурацией системы из-за необходимости загрузки неподписанного драйвера.

Кстати, о драйвере.
Имя ему IsDrv122.sys (c:\windows\system32\drivers\IsDrv122.sys)
Не виден в проводнике, но на него реагируют другие антируткиты и иногда антивирусы, что временами может навлечь на мысль о заражении. Вы можете спокойно его удалить, если он мешает, но после запуска программы он будет создан заново.

Скачать IceSword 1.22 (md5:49582E999155CDF2812A1D645CAF0831)

Kernel Detective 1.4.1

28
28.01.2012
в

Kernel Detective — бесплатный инструмент, позволяющий выявлять и исправлять изменения в ядре ОС Windows. Это довольно мощный инструмент для работы с системой, по этому неопытный пользователь может повредить систему, используйте ее только если вы знаете, что делаете. В прочем, как и с любым другим антируткитом.

Kernel Detective дает возможность обнаружения

  • Скрытых процессов
  • Потоков
  • Загруженных библиотек DLL
  • Окон
  • Хэндлов
  • Драйверов

А так же детектирует перехваты SSDT, Shadow SSDT, IDT, модификации кода и перехваты пространства ядра.
Имеет встроенный дизассемблер и отладочный системный монитор.
Умеет инжектить бибилиотеки в процессы, что может понравится геймерам при индекте читов, или реверсерам при инжекте дизассемблерских билиотек.

Не работает с x64 системами.
Разработчик: GamingMasteR [at4re.com]

Скачать
Пароль на архив: onthar.in

Это обновленный пост, так как старый почему-то вылетел из индексов, это связано скорее всего с тем, что на Kernel Detective могли ругаться некоторые антивирусы, вот страница и была ошибочно признана вредоносной.

TDSSKiller — утилита против руткитов от ЛК

4
31.10.2011
в

TDSSKiller — это антируткит от Лаборатории Касперского для борьбы со следующими руткитами:

  • Rootkit.Win32.TDSS;
  • Rootkit.Win32.Stoned.d;
  • Rootkit.Boot.Cidox.a;
  • Rootkit.Boot.SST.a;
  • Rootkit.Boot.Pihar.a,b;
  • Rootkit.Boot.MyBios.b;
  • Rootkit.Win32.TDSS.mbr;
  • Rootkit.Win32.ZAccess.c,e,f,g,h,i,j,aml;
  • Rootkit.Boot.SST.b;
  • Rootkit.Boot.Fisp.a;
  • Rootkit.Boot.Nimnul.a;
  • Rootkit.Boot.Batan.a;
  • Backdoor.Win32.Trup.a,b;
  • Backdoor.Win32.Sinowal.knf,kmy;
  • Backdoor.Win32.Phanta.a,b;
  • Trojan-Clicker.Win32.Wistler.a,b,c;
  • Virus.Win32.TDSS.a,b,c,d,e;
  • Virus.Win32.Rloader.a;
  • Virus.Win32.Cmoser.a;
  • Virus.Win32.Zhaba.a,b,c.

Так же умеет проверять цифровые подписи драйверов и обнаруживать файловую систему буткита TDL.
Прост в использовании, надежен.
(далее…)

Esagelab Bootkit Remover — Антибуткит.

0
27.10.2011
в

Данная утилита представляет собой универсальное средство для детектирования и лечения вредоносных программ класса «буткит» (Sinowal/Mebroot/MaosBoot, Stoned Bootkit и др.)

Буткит записывает свой код в главную загрузочную запись (MBR) диска, обеспечивая таким образом исполнение вредоносного кода после загрузки операционной системы. В некоторых случаях буткит также скрывает модифицированный код загрузочного сектора.

Утилита обнаруживает модифицированный (в том числе скрытый) код MBR для всех видов и модификаций буткитов. Инфицированный загрузочный код может быть заменен на чистый и/или сохранен в файл.
Скачать утилиту можно с официального сайта:

http://www.esagelab.com/files/bootkit_remover.zip

А прочитать подробней ниже:
(далее…)

Rootkit Unhooker

6
26.09.2011
в

Rootkit Unhooker - это отечественный антируткит, ныне заброшен (будем надеяться, что временно). Последняя версия 3.8.389.592
К разработке продукта усилия приложили такие известные ислледователи, как Ms-Rem, EP_X0FF, a_d_13 и другие разработчики низкоуровневого софта и алгоритмов. Именно по этому этот антируткит можно назвать одним из лучших в своем роде.

Основные функции:

  • Определение перехватов скрытых таблиц дескрипторов системных вызовов
  • Определение и уничтожение перехватов SYSENTER/Int 2e
  • Определение, уничтожение, снятие дампа со скрытых процессов
  • определение скрытых драйверов с возможностью дампа
  • Определение перехватов IRP
  • Определение API-перехватов
  • Определение скрытых библиотек
  • Выявленеи скрытых файлов
  • Низкоуровневые операции с файлами
  • Создание подробного отчета
  • Мощная самозащита
  • Специальный режим «Extended Mode», предназначенный для корректной работы программы в безопасном режиме.
Скачать Rootkit Unhooker (оригинальный архив)
Скачать портативный Rootkit Unhooker (не требует установки, все файлы сохранены)
Полный список возможностей, выдранный из справочного файла в архиве:

(далее…)

Вверх