简介

主要功能

Rootkit Unhooker

简介

Rootkit Unhooker LE (RkU)是一个高级的rootkit检测/删除工具，专门为高级用户和IT专家设计开发。它运行在32位的Windows 2000，Windows XP，Windows 2003 Server，Windows Vista和Windows 2008 Server操作系统平台上。

为了避免可能出现的问题，请不要在RKU运行时，启动其它任何的rootkit检测工具。

RkU已经在如下Windows版本做过完整的测试:

Windows 2000 Professional SP4, Rollup 1

Windows XP Home/Professional SP1, SP2, SP3

Windows 2003 Server (all editions) SP1, SP2

Windows Vista Ultimate, SP1

Windows 2008 Server

主要功能

SSDT挂钩检测

包含SDT钩子卸载(unhooking)

shadowSSDT挂钩检测

包含SSDT钩子卸载(unhooking)

隐藏进程检测

检测隐藏的进程（世界上最先进的）检测进程的全路径名

隐藏进程终止

包括使用PVASE强行杀死进程

隐藏进程DUMP

重建文件以用于分析

隐藏驱动检测

检测隐藏的驱动

隐藏驱动DUMP

为选择的驱动构建一个dump文件

系统线程运行分析

挂起的系统模式下的线程执行的信息

IRP挂钩检测

在隐藏驱动检测的"References"列进行查找

代码挂钩检测

检测代码中的基于API的挂钩

隐藏库检测

代码挂钩检测页的一部分。显示隐藏库的地址（检测到的情况下）

隐藏文件检测

包含检测硬盘上使用Windows API隐藏的文件。支持的文件系统：FAT32 and NTFS

更新程序

能够连接到服务器进行程序更新

报告产生

自动产生一个包含所有需要的信息的报告

进程自保护

包含多种方法，使得能够不收操作系统的影响。包含内部完整性检查

在Windows安全模式下运行需要配置在Setup菜单配置"Extended Mode"

RkU需要管理员权限去运行和使用