PC Hunter (новая версия известного антируткита XueTr) - это активно развивающийся антируткит от китайских разработчиков. Бесплатный и удобный инструмент для Windows, с мощными возможностями для просмотра и манипуляции структурой ядра. Программа предлагает Вам возможность обнаружения, анализа и восстановления различных модификаций ядра с наивысшими правами. С помощью данного инструменты Вы сможете легко определить и нейтрализовать скрытые от обычных антивирусов вредоносные программы.
Имеет стандартный функционал: менеджер процессов, служб, драйверов, сети, возможность снятия разнообразных перехватов, включая Ring-0 и Ring3 режимы. Примечательны редактор реестра и менеджер автозапуска, файловый менеджер с возможностью форсированного удаления файлов, и многое другое.
Из-за применения технологий, используемых руткитами, возможны ложные срабатывания антивирусов на утилиту. Антивирус во время работы можно отключить, на наличие вредоносного кода утилита проверена. Не требует установки.
Возможности:
- Просмотр процессов, потоков, модулей процессов, окон процессов, дамп памяти процесса, выгрузка процессов, потоков, модулей.
- Посмотр SSDT, Shadow SSDT, FSD, KBD, TCPIP, Classpnp, ATAPI, ACPI, SCSI, IDT, GDT, возможность обнаружения и восстановления SSDT перехватов.
- CreateProcess, CreateThread, LoadImage, CmpCallback, BugCheckCallback, Shutdown, Lego.
- Port View - Windows 2000 не поддерживается.
- Просмотр Message Hooks.
- Редактор реестра.
- Файловый менеджер, поддерживает основные операции с файлами.
- Просмотр и редактирование IE-BHO, SPI, элементов автозагрузки, серсисов и служб, hosts-файла, подмены ассоциации файлов, системных правил брандмауэра, IME.
- Обнаружение и восстановление ObjectType Hook.
- Обнаружение и удаление DPC таймеров.
- Обнаружение и удаление MBR-Rootkit.
- Обнаружение hijack объектов ядра.
В настоящее время доступны следующие функции: [more]
Менеджер процессов
- Просмотр системных процессов и потоков, основная информация.
- Обнаружение скрытых процессов, потоков, модулей.
- Завершение, приостановка и возобновление процессов и потоков.
- Просмотр и управление процессами, окнами и областями памяти.
Обзор модулей ядра
- Отображение информации о модулях ядра, включая базовые образы, размер, объекты драйверов, пути, имена сервисов и их порядок загрузки.
- Обнаружение скрытых модулей ядра.
- Выгрузка модуля ядра (опасно, на Windows 7 не тестировалось).
- Дамп памяти ядра.
- Отображение и удаление служебной информации системных драйверов.
Детектор перехватов
- Просмотр и восстановление перехватов SSDT, Shadow SSDT, SYSENTER и int2e.
- Просмотр и восстановление перехватов FSD и keyboard disptach.
- Просмотр и восстановление перехватов кода ядра, в том числе kernel inline перехваты, патчи, IAT и EAT перехваты.
- Просмотр и восстановление перехватов пользовательского режима, в том числе встроенные перехваты, патчи, IAT и EAT перехваты.
- Просмотр и восстановление перехватов сообщений (как глобальных, так и локальных).
- Просмотр и восстановление перехватов ObjectType ядра.
- Отображение прерываний дескрипторной таблицы (IDT).
Система просмотра обратных вызовов
- Просмотр и удаление нотификаций ядра (Process/Thread/Image/Registry/Lego/Shutdown/Bugcheck/FileSystem/Logon).
Обзор сети
- Просмотр текущих сетевых подключений, в том числе локальных и удаленных адресов и состояния соединения TCP.
- Просмотр и удаление IE плагинов и контекстного меню.
- Просмотр и восстановление перехватов отправки TCPIP.
- Просмотр Winsock услуг (SPI).
- Просмотр и редактирование хост-файла.
Обзор фильтров
- Просмотр и удаление фильтров для распространенных устройств, включая диски, разделы, клавиатуры и сетевые устройства.
Редактор реестра
- Просмотр и редактирование системного реестра.
- Обнаружение скрытых записей реестра с использованием анализа кустов живого реестра.
Файловый менеджер
- Обнаружение скрытых файлов с использованием таких методов, как анализ диска и установленного драйвера.
- Просмотр и удаление заблокированных файлов и папок.
- Просмотр основной информации о файлах, в том числе альтернативных потоках данных NTFS.
Менеджер автозапуска
- Отображение и удаление общих записей автозапуска.
Менеджер сервисов
- Отображение информации о Win32-сервисах (для модулей нулевого кольца, эта информация отображена на вкладке Обзор модулей ядра).
- Изменение статусов и конфигурации служб.
DPC-Таймер
- Перечисление и удаление объектов DPC-таймера.
Разное
- Просмотр и корректировка ассоциаций типов файлов.
- Просмотр и восстановление захвата изображений.
Настройки
- Опция защиты от создания процессов, потоков, внедрения модулей и установки перехватов сообщений.
- Опция защиты от создания файлов и ключей реестра.
- Опция защиты от приостановки, выхода из системы, выключения и перезагрузки.
- Опция защиты от блокировки рабочей станции и переключения рабочих столов.
- Опция защиты от изменения системного времени.
[/more]
Имеем:
Менеджер процессов, драйверов, сети, служб, реестра, автозапуска и файловый менеджер
Снятие перехватов на Ring0 и Ring3.
Удаляет процессы чотко и рэзко культурно и оперативно, на чем гмерик тужился и ругался. Проверял на сканере drweb, даже не пискнул.
В реестре тоже грохает все.
Особенно понравилась функция Disassembler current/original entry.
Вобщем, вэлкам.
Oфсайт: http://www.xuetr.com/
страница зарузки
скачать последнюю версию XueTr
скачать последнюю версию PCHunter_free
скачать последнюю версию PCHunter_pro
Похожие программы
PowerTool
GMER
Имеет стандартный функционал: менеджер процессов, служб, драйверов, сети, возможность снятия разнообразных перехватов, включая Ring-0 и Ring3 режимы. Примечательны редактор реестра и менеджер автозапуска, файловый менеджер с возможностью форсированного удаления файлов, и многое другое.
Из-за применения технологий, используемых руткитами, возможны ложные срабатывания антивирусов на утилиту. Антивирус во время работы можно отключить, на наличие вредоносного кода утилита проверена. Не требует установки.
Возможности:
- Просмотр процессов, потоков, модулей процессов, окон процессов, дамп памяти процесса, выгрузка процессов, потоков, модулей.
- Посмотр SSDT, Shadow SSDT, FSD, KBD, TCPIP, Classpnp, ATAPI, ACPI, SCSI, IDT, GDT, возможность обнаружения и восстановления SSDT перехватов.
- CreateProcess, CreateThread, LoadImage, CmpCallback, BugCheckCallback, Shutdown, Lego.
- Port View - Windows 2000 не поддерживается.
- Просмотр Message Hooks.
- Редактор реестра.
- Файловый менеджер, поддерживает основные операции с файлами.
- Просмотр и редактирование IE-BHO, SPI, элементов автозагрузки, серсисов и служб, hosts-файла, подмены ассоциации файлов, системных правил брандмауэра, IME.
- Обнаружение и восстановление ObjectType Hook.
- Обнаружение и удаление DPC таймеров.
- Обнаружение и удаление MBR-Rootkit.
- Обнаружение hijack объектов ядра.
В настоящее время доступны следующие функции: [more]
Менеджер процессов
- Просмотр системных процессов и потоков, основная информация.
- Обнаружение скрытых процессов, потоков, модулей.
- Завершение, приостановка и возобновление процессов и потоков.
- Просмотр и управление процессами, окнами и областями памяти.
Обзор модулей ядра
- Отображение информации о модулях ядра, включая базовые образы, размер, объекты драйверов, пути, имена сервисов и их порядок загрузки.
- Обнаружение скрытых модулей ядра.
- Выгрузка модуля ядра (опасно, на Windows 7 не тестировалось).
- Дамп памяти ядра.
- Отображение и удаление служебной информации системных драйверов.
Детектор перехватов
- Просмотр и восстановление перехватов SSDT, Shadow SSDT, SYSENTER и int2e.
- Просмотр и восстановление перехватов FSD и keyboard disptach.
- Просмотр и восстановление перехватов кода ядра, в том числе kernel inline перехваты, патчи, IAT и EAT перехваты.
- Просмотр и восстановление перехватов пользовательского режима, в том числе встроенные перехваты, патчи, IAT и EAT перехваты.
- Просмотр и восстановление перехватов сообщений (как глобальных, так и локальных).
- Просмотр и восстановление перехватов ObjectType ядра.
- Отображение прерываний дескрипторной таблицы (IDT).
Система просмотра обратных вызовов
- Просмотр и удаление нотификаций ядра (Process/Thread/Image/Registry/Lego/Shutdown/Bugcheck/FileSystem/Logon).
Обзор сети
- Просмотр текущих сетевых подключений, в том числе локальных и удаленных адресов и состояния соединения TCP.
- Просмотр и удаление IE плагинов и контекстного меню.
- Просмотр и восстановление перехватов отправки TCPIP.
- Просмотр Winsock услуг (SPI).
- Просмотр и редактирование хост-файла.
Обзор фильтров
- Просмотр и удаление фильтров для распространенных устройств, включая диски, разделы, клавиатуры и сетевые устройства.
Редактор реестра
- Просмотр и редактирование системного реестра.
- Обнаружение скрытых записей реестра с использованием анализа кустов живого реестра.
Файловый менеджер
- Обнаружение скрытых файлов с использованием таких методов, как анализ диска и установленного драйвера.
- Просмотр и удаление заблокированных файлов и папок.
- Просмотр основной информации о файлах, в том числе альтернативных потоках данных NTFS.
Менеджер автозапуска
- Отображение и удаление общих записей автозапуска.
Менеджер сервисов
- Отображение информации о Win32-сервисах (для модулей нулевого кольца, эта информация отображена на вкладке Обзор модулей ядра).
- Изменение статусов и конфигурации служб.
DPC-Таймер
- Перечисление и удаление объектов DPC-таймера.
Разное
- Просмотр и корректировка ассоциаций типов файлов.
- Просмотр и восстановление захвата изображений.
Настройки
- Опция защиты от создания процессов, потоков, внедрения модулей и установки перехватов сообщений.
- Опция защиты от создания файлов и ключей реестра.
- Опция защиты от приостановки, выхода из системы, выключения и перезагрузки.
- Опция защиты от блокировки рабочей станции и переключения рабочих столов.
- Опция защиты от изменения системного времени.
[/more]
Имеем:
Менеджер процессов, драйверов, сети, служб, реестра, автозапуска и файловый менеджер
Снятие перехватов на Ring0 и Ring3.
Удаляет процессы чотко и рэзко культурно и оперативно, на чем гмерик тужился и ругался. Проверял на сканере drweb, даже не пискнул.
В реестре тоже грохает все.
Особенно понравилась функция Disassembler current/original entry.
Вобщем, вэлкам.
Oфсайт: http://www.xuetr.com/
страница зарузки
скачать последнюю версию XueTr
скачать последнюю версию PCHunter_free
скачать последнюю версию PCHunter_pro
Похожие программы
PowerTool
GMER
. 
[/more]