スクリーンショット
RootkitRevealerは、高度なルートキット検出ユーティリティです。 Windows NT 4以降で実行され、その出力には、ユーザーモードまたはカーネルモードのルートキットの存在を示す可能性のあるレジストリおよびファイルシステムAPIの不一致がリストされます。
RootkitRevealerは、AFX、Vanquish、HackerDefenderを含む多くの永続的なルートキットを正常に検出します(注:RootkitRevealerは、ファイルやレジストリキーを隠そうとしないFuのようなルートキットを検出するためのものではありません)。
永続的なルートキットはAPIの結果を変更することで機能するため、APIを使用するシステムビューがストレージ内の実際のビューと異なるため、RootkitRevealerはシステムスキャンの結果を最高レベルと最低レベルで比較します。最高レベルはWindows APIで、最低レベルはファイルシステムボリュームまたはレジストリハイブの未加工のコンテンツです(ハイブファイルはレジストリのディスク上のストレージ形式です)。
したがって、たとえばWindows APIまたはネイティブAPIを操作してディレクトリリストから存在を削除するルートキットは、ユーザーモードまたはカーネルモードに関係なく、Windows APIによって返される情報と表示される情報との不一致としてRootkitRevealerによって表示されます。 FATまたはNTFSボリュームのファイルシステム構造の生スキャンで。