几款流行的反Rootkit软件测试（Tbk Corporation的Iru Dog原创）

yu88480

由于网络的发展，Rootkit已经成了计算机用户最大的安全威胁。因为杀毒软件并不能完美地查杀Rootkit，尤其是未知Rootkit，反 Rootkit软件已经成了我们的必备工具。随着Rootkit的发展，IceSword已经显得力不从心，因此我找到了7款反Rootkit软件来测试。
反Rootkit软件:
IceSword:经典的反Rootkit工具，也是我最早使用的反Rootkit工具，测试时（下同）最新版本为1.22
Darkspy:0ginr论坛上说是最强的反Rootkit工具，最新版为1.05测试版
Knlps:经典的反Rootkit工具，没找到所谓的最新版，我用的是1.0
Raide:在www.rootkit.com上找到的一个反Rootkit工具，版本是1.0beta
Rootkit Unhooker:0ginr论坛上说的第二强的反Rootkit工具，我用在线更新下载到最新的3.7.300.502版
SysCheck:新兴的工具，听说超越了IceSword，我去官方网站找到了最新版0725
Rootkit Dectector:也是经典的工具，在官方网站上找到最新版0.62,不过站上的下下来解压失败，只好用搜到的0.62版

Rootkits:
泡泡堂：一款流行的网络游戏，由于使用了Rootkit技术保护自己，因此成了测试对象之一。上次它让我一打开IceSword1.20时便重启了，不知道1.22版怎样（不过结果还是一样，Darkspy也是重启了）
PCShare:国内的一个非常优秀的木马，使用了驱动隐藏技术，我用了20070722版
AFX Rootkit:我用2005版，这是个老Rootkit了，但不稳定，运行后重启了一次
Hacker Defender:我用1.00版，这是黑客们常用的东西了
FU-Rootkit:《黑客防线》的评价为“养在深闺人未识”的Rootkit,不过现在也应该出名了，我从www.rootkit.com下载的，版本未知
Rkdem从0ginr那里听说IceSword检测不出此Rootkit,但后来不知道怎么在那里找不到了，不过我去www.rootkit.com找到了，网站叫它New Rootkit 11

介绍完了，实验开始，为了防止实验被干扰，我把NOD32卸载了。实验过程中，我发现瑞星个人防火墙也干扰实验，于是也删了。反正我用的是Windows XP黑客精华版，不怕中招。 测试结果如下表： 见http://tbk.xinwen365.net/antirootkit.xls（注：1个+表示没检测出或发生重启，2个到3个+表示能部分检测，4个到5个+表示能完全检测，其中5个+表示能完美清除）
其他方面：IceSword、Darkspy和Raide在系统运行了某些Rootkit时，发生了一启动系统便重启的现象；Rootkit Unhooker在系统运行了AFX Rootkits，发生了一启动就使AFX Rootkits停止运行的现象。图形界面的IceSword、Darkspy、Rootkit Unhooker和SysCheck均有强大的文件、服务/驱动或注册表管理功能，IceSword有插件功能、Rootkit Unhooker提供了检测更新的功能，Syscheck有清除Autorun.Inf的功能。而且图形界面的反Rootkit软件有强删文件、禁止进线程创建等功能。Darkspy尚不够人性化。在命令行的反Rootkit软件中，Raide的功能较完善，但操作烦琐。 总结：总的来说，我用7款反Rootkit软件测试了6款Rootkit，在检测能力及稳定性、附加功能等方面，Rootkit Unhooker以高超的反Rootkit技术及人性化的功能获得了绝对优势而胜出。SysCheck以微弱的优势打败了Darkspy排名第二。 Darkspy排名第三。Knlps排名第四。Raide与IceSword并列第五。Rootkit Dectector由于检测功能极差且无任何特色功能而排在倒数第一。

[ 本帖最后由 yu88480 于 2007-9-30 12:36 编辑 ]

motnahp

和我想的一样果然还是rku最强，不过用syscheck为什么不用wsyscheck呢