RK检测工具Rootkitunhooker使用实验

本次实验主要介绍了RK检测工具RootkitUnhooker的使用，通过本实验的学习，能够学习到RootKitUnhooker软件的使用方法，如何挖掘隐藏的未知恶意代码，还可以了解到rootkit、hook相关技术和SSDT相关概念。
 

一、实验目的

（1）学习RootKitUnhooker软件使用方法，挖掘隐藏的未知恶意代码；

（2）了解rootkit、hook相关技术，SSDT相关概念；

二、预备知识

Rootkit是一种特殊的恶意软件，自身保留root访问权限。它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动，修改系统内核，进而达到隐藏信息的目的。

Rootkit Unhooker是一款较新的RK检测工具,功能有服务描述表钩子检测和恢复、强大的进程检测、强大的驱动检测、隐藏进程杀除、API钩子检测、驱动转储、生成报告。

三、实验内容

Rootkit Unhooker LE（RkU）是一个高级的rootkit检测/删除工具，专门为高级用户和IT专家设计开发。 为避免出错，使用工具前关掉其他AntiRootkit工具以及带主动防御的反病毒产品（如卡巴斯基）、HIPS软件。

进入实验机桌面打开“RK检测工具-RootkitUnhooker”文件夹，运行“RkU3.7.300.505.exe”安装程序，然后从开始菜单找到新安装的程序“Rootkit Unhooker”打开进入主界面。

1、SSTD

SSDT钩子的检测和恢复，显示了内核系统调用表的所有函数、函数地址、挂钩标记和挂钩此函数的模块名字，单单是这个标签页提供了足够的信息来检测和清除90%的rootkit，在检测到一个钩子并且追踪到了挂钩些函数的模块名字（和安全软件对抗的模块）后，你可以清除所有的SSDT钩子，在注册表里搜索目标模块并且删除引用了模块的项，然后删除目标模块并重启。

可以查看选项卡中的“SSDT”（系统服务描述表）或“Shadow SSDT”（SSDT 映射，Shadow SSDT的作用和SSDT本身差不多，只不过它主要是提供一些基于图形用户界面（GUI）下的系统服务函数，并保存了一份与SSDT相同的服务列表）有没有被恶意软件hook（在此简单理解为利用rootkit技术控制、修改）一般的软件运行在ring3层，是无法检测到的。

2. 隐藏进程检测

显示所有正在运行的进程、进程的EPROCESS地址和进程的状态，所有的状态为“从Windows API隐藏”的进程都是正在运行但又不是进程链表里的，隐藏的进程既可以是一个rootkit也可以是使用了rootkit技术的隐藏程序：

3. 隐藏驱动检测

显示了所有已加载的驱动、驱动的路径、驱动的大小的加载基址、隐藏标记和一个引用列，所有标记为隐藏的驱动都是已加载但是不在设备驱动列表里的驱动，这样可以清楚地表明了一个内核层的rootkit：

4. 隐藏代码检测“Stealth Code”

潜藏代码检测，这应该是Rootkit Unhooker特有的功能，主要是检测无标识的可执行代码片段（如驱动中隐藏的可执行代码）。

5. 隐藏文件检测“Files”

隐藏文件的检测，显示了所有检测到的隐藏文件。

6. 代码钩子检测“Code Hooks”

显示所有已加载进程的用户模式的钩子（进程注入），因为有内核钩子，Rootkit Unhooker可以摘掉所有所有被注入进程的钩子或者有选择地摘掉特定进程的钩子，如果可能的话，在这里还会显示安装钩子的模块名称。

7. 报告

显示了所有检测到的异常，可以按下“扫描”按钮来生成一个报告