Rootkit 검출을 위한 Windows용 툴을 몇가지 추천한다.
■ RootkitRevealer (RootkitRevealer) v1.71 (11/1/2006)
Scan your system for rootkit-based malware
invalid-fileRootkitRevealer는 API함수의 호출 결과와 Low Level에서의 결과와 비교해 쌍방에 차이가 있을 경우 Rootkit이 존재하는 것으로 판단한다.
■ BlackLight(F-Secure)
invalid-file■ Process Explorer(Process Explorer)
Rootkit이 OS가 부팅될 때마다 자동으로 실행되는지 조사한다.
■ Autoruns(Autoruns)
Rootkit이 OS가 부팅될 때마다 자동으로 실행되는지 조사한다.
■ LiveKd(LiveKd)
어떤 컴포넌트가 어떤 형태로 은폐되어 있는가를 검출한다.
시스템 콜에 대한 훅킹을 커널의 "서비스 테이블"을 덤프 출력해 봄으로써 후킹여부를 점검
(마이크로소프트의 커널 디버거를 이용해 실행중인 시스템의 내부를 조사하는 툴이다.)
■ IDA Pro(IDA Pro)
강력한 "역 어셈블러"로 Windows내부를 조사할 때 사용한다.
■ Regmon(Regmon) v7.04 (11/1/2006)
리얼타임으로 레지스트리 활동을 모니터링
■ RootKit Hook Analyzer
http://www.resplendence.com/hookanalyzer
RootKit Hook Analyzer is for free and runs on Windows Vista, XP, 2003 and 2000 (x86 editions only).
Note: support for Windows x64 editions has been temporarily retracted and will be reintroduced in a future release.