d6db2-skrit_fayli.png

Для выявления скрытых объектов в системе советую обратить внимание на утилиту под названием RootkitRevealer, которая входит в довольно известный набор утилит от компании SysInternals.

Достоинства данной утилиты в том, что её работа основана на прямом чтении диска и сравнения результатов с данными, полученных при помощи стандартных API функций. Утилита производит анализ Master File Table NTFS - тома и структуры каталогов.

Примерно та же самая процедура выполняется и для реестра, происходит снятие дампа реестра, с помощью того же метода прямого чтения с диска, после чего происходит сравнивание результата с тем, что получилось при использовании стандартных API функций для работы с реестром.

Отдельно стоит заметить, что утилита распознает скрытые файлы и ключи реестра независимо от того, как был выполнен перехват API - функций.

Другая утилита под названием BlackLight от компании F-Secure обнаруживает скрытые файлы и процессы производя анализ системы на более низком уровне. Стоит подчеркнуть тот факт, что утилита производит брутфорс PID, для скрытых процессов.


Пожалуйста авторизируйтесь, что бы оставлять комментарии