다운로드: http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip
주요 특징은 다음과 같습니다.
- 프로세스, 파일, 레지스트리 등 숨겨져 있는 개체들을 진단할 수 있다.
- 시스템에서 실행 중인 모든 프로세스의 정보를 보여 준다.
- SSDT(System Service Descriptor Table) 후킹, 사용자/커널의 IAT/EAT(Import/Export Address Table) 후킹과 같은 다양한 후킹 정보를 보여 준다.
- 발견된 숨겨진 파일/레지시트리를 치료/삭제할 수 있다.
- 악성 코드가 실행 중인 프로세스를 종료시킬 수 있다.
- 사용자는 샘플을 관련 사이트에 접수할 수 있다.
사용할 수 있는 운영체제는 다음과 같습니다.
- WIndows XP 홈 SP2
- Windows XP 프로 SP2
- Windows 2000 SP4
- Windows 2000 서버
- Windows 2003 서버 SP1
다른 안티 루트킷 제품에 비해 운영체제면에서 서버급을 지원한다는 점에서 훨씬 강점을 가지고 있습니다.
아래 화면은 루트킷 디텍티브를 실행한 것입니다.
아래 화면은 Vanish라는 루트킷을 감지해 낸 것입니다.
그리고, 다음 사항을 주의해야 합니다.
- McAfee Entercept Products에 관계된 레지스트리 항목을 진단합니다.
- McAfee Antispyware Enterpise에 관계된 mfehidk.sys 파일을 후킹한 커널 서비스로 진단합니다.
- Windows 2000 SP4 환경에서 shim.dll을 가리키는 IAT/EAT 후킹을 진단합니다.
- Zone Alarm의 vsdatant.sys를 진단합니다.
- Go Back software가 설치된 시스템에서는 Goback2k.sys 파일을 후킹한 서비스로 진단합니다.
- F-Secure Internet Security Suite 2006이 설치된 시스템에서는 fsndis5.sys 파일을 후킹한 서비스로 진단합니다.
- Kaspersky Internet Security 2006이 설치된 시스템에서는 klif.sys 파일을 후킹한 서비스로 진단합니다.
- McAfee Desktop Firewall이 설치된 시스템에서는 FireTDS.sys 파일을 후킹한 서비스로 진단합니다.
- McAfee Host Intrusion Prevention이 설치된 시스템에서는 Hidsys.sys 파일을 후킹한 서비스로 진단합니다.
- VSE 제품이 설치된 시스템에서는 ZwCreateThread라는 서비스 이름을 진단합니다.
- 윈도우 2000 플랫폼에 Kaspersky Internet Security 2006이 설치된 경우에는 실행이 안됩니다.
- IAT/EAT와 SSDT 후킹으로 진단한 많은 사항들은 적합한 프로그램이 사용하는 경우도 있으니 주의해야 합니다.
감사합니다.
PS: 사용해본 결과 McAfee의 명성답게 확실히 검사하기 때문에 좀 느립니다. ㅎㅎ.
새 트위터 글
TAG anti-rootkit,
Antirootkit,
Mcafee,
rootkit,
Rootkit Detective,
Security,
루트킷,
루트킷 디텍티브,
보안,
안티루트킷
