Un Rootkit est un logiciel, ou une technique permettant à un individu malveillant de dissimuler son activité aux yeux du système. La présence d'un rootkit est difficile a détecter. Ce dernier est capable de dissimuler son existence et son activité aux utilisateurs ainsi qu'aux moyens de détection classiques (antivirus, antispywares). Les trojans, keyloggers, ou (par exemple) les vers peuvent utiliser la technique des Rootkits pour se rendre invisible et donc indétectable par les moyens de détections classiques. Mais on peut aussi s'en servir caché un dossier.

+ d'infos


ANTI-ROOTKIT

Rootkit Revealer
Ce logiciel va débusquer sur votre système les rootkits qui pourraient s’y dissimuler. Ces derniers changent le résultat de l'API (application programming interface) afin de masquer leur présence. Le logicielle ne propose que la réalisation d'un scan, dont on peut déterminer la profondeur.





Hook Explorer
HookExplorer donne à l'utilisateur plusieurs options de balayage. Le logiciel énumère toutes les dll's chargées, les processus et la table "IAT". Il offre 4 possibilité d'affichage, pour vous aidez à examiner vos données.





Rootkit Hook Analyzer
se charge de faire une liste des modules d'interceptions (hooks) de windows. Il peut y avoir des indésirables, qui constituent le point d'entrée pour un rootkit. L'afficher et le détecter permettra de s'occuper d'une éventuelle infection.
Le logiciel liste en rouge les inscriptions non-standards. Certaines peuvent être bénignes (vdatant.sys, qui appartient à ZoneAlarm par exemple). Pour trier le bon grain de l'ivraie, les descriptions du fichier (compagnie et produit) vous aident à déterminer qui est qui et ne pas paniquer devant une inscription non standard mais non nuisible comme celle d'un pare-feu ou d'un antivirus.





AVG AntiRootkit
L'antirootkit de la société Grisoft est encore en version béta, mais déjà très fonctionnel et stable. Pour accèder à la page béta-test vous devez au préalable vous enregistrer. Le logiciel est très simple d'utilisation, un bouton pour effectué les recherches, un autre pour les suppressions. AVG antirootkit est rapide, fiable et terriblement efficace.





F-Secure Blacklight
La technologie d'élimination de rootkit BlackLight de F-Secure détecte les objets qui sont cachés aux utilisateurs et permet de les enlever. Le but principal est de combattre les rootkits et toutes sortes de malwares qui emploient cette technologie. BlackLight AntiRootkit fonctionne en examinant le système en profondeur. Logiciel en béta, existe en version graphique ou ligne de commande.





Sophos Anti-Rootkit
Simple et gratuit, l'utilitaire de Sophos permet la détection et la supression des rootkits qui infestent nombre de machines sans même que leurs utilisateurs ne s'en doutent. Trois possibilités de scan : processus actifs, base de registre, disque dur.





Rootkit Uncover
est le nouveau logiciel anti-rootkit de Bitdefender. Il permet de scanner et déradiquer les rootkits détectés dans les fichiers et les processus. Version actuel : 1.0 béta 2.





UnHackMe
Le logiciel est téléchargeable en version trial, avec des fonctionnalitées complètes.





Rootkit Unhooker
RKU est très apprécié dans la communauté anti-rootkit pour plusieurs raisons : d'abord il fait bien son travail, notamment avec le très coriace pe386 (la bête noire du moment pour ces logiciels), il est stable, et il est accompagné d'un outil de test.
RKU est rapide et léger, et semble s'imposer comme une valeur sûre. Les sources ne sont plus disponibles, car cela aiderait les programmeurs malveillants à contourner le programme... dit la FAQ.



+ d'infos



Gmer
Avec une interface proche des autres logiciels, les fonctions habituelles de recherche de processus, services, connexions cachées au noyau windows sont là.
Son originalité est d'intégrer un module de scan online (Kaspersky ou autres) qu'il ouvre depuis sa propre fenêtre (à cocher dans les préférences), pour éviter qu'un virus ou malware empêche votre antivirus de tourner.
Le site propose une série de vidéos de gmer en action sur le rootkit pe386 (connu pour sa férocité et ses capacités d'esquive).
Comme tout logiciel anti-rootkit, son point faible est de devenir connu : certains rootkits apprennent à contourner des logiciels de détection. A tester en complément d'autres programmes.





IceSword
Tout ce qui est affiché en rouge est potentiellement suspect. Reste à trier, certains programmes normaux peuvent avoir ces lignes en rouge, comme les antivirus ou firewalls, selon leur degré d'intégration au système. IceSword contrôle tout ce qui a un point d'entrée dans le système.
Vous remarquerez le nom "bizarre" en barre de titre, il s'agit d'un titre de fenêtre généré aléatoirement, car certains programmes malveillants se basent sur les titres de fenêtres pour empêcher des programmes de contre mesures de se lancer.





DarkSpy
DarkSpy est un autre freeware de détection de rootkits, basé sur les mêmes principes que les logiciels évoqués précédemment. Une de ses particularités et de fonctionner sur deux modes, un mode normal et un mode "super", avec plus de fonctions, accessible après un redémarrage. Donc lorsqu'il vous demandera à redémarrer au premier lancement, répondez oui.





Helios
est un système avançé de détection de malware qui a été conçu pour détecter, enlèver et vacciner contre les rootkits modernes. Ce qui fait la différence avec des produits conventionnels d'antivirus/antispyware est qu'il ne se fonde pas sur une base de données des signatures connues, mais sur le comportement des programmes.
Dommage que le logiciel consomme beaucoup, beaucoup, trop de ressource. De plus il n'est compatible qu'avec Windows XP sp2 et doit disposé de Microsoft .Net Framework 2.0, nécessite 512Mo de Ram et un processeur supérieur à 1Ghz.




Helios Lite
Helios Lite fait partie des logiciels "portable", et est sans installation. Il peut aussi être lancer a partir d'une clé USB. Contrairement à Helios, il ne requière pas .Net Framework 2.0. Il est cependant nécessaire d'avoir des droits administrateur et le disque dur doit être au format NTFS.
+ d'infos



Hidden Finder
HiddenFinder est un logiciel de sécurité avancé qui peut détecter et tuer les processus et les drivers cachés. Les processus cachés et les drivers sont habituellement le résultat d'une attaque sophistiquée de virus ou de spyware. La recherche récente montre que de plus en plus d'attaques sont facilités par des processus cachés de Trojan ce qui peut ouvrir une porte dérobée sur votre ordinateur et détourner votre système. Votre PC peut devenir une machine zombi sous la commande à distance d'un ordinateur pirate. Les rootkits détectés peuvent être désactivés grâce au clic droit. Version trial.





Raide
RAIDE pour Rootkit Analysis IDentification Elimination. Cet antirootkit de détection et d'élimination offre uniquement la possibilitée de supprimer un processus et l'identification du firewall.



Rootkit Shark
Le logiciel fonctionne par comparaison entre le registre et les fichiers. Le produit est une version trial et nécessite une inscription pour son téléchargement.



System Virginity Verifier
est un outil polonais de l'experte en sécurité Joanna Rutkowska. L'idée de SVV est de vérifier les composants importants du système de Windows, qui sont habituellement changés par les divers malwares, afin d'assurer l'intégrité de système.
Du même auteur Klister, est un détecteur de processus caché pour Windows 2000.
Et aussi modGREPER, FLISTER, PatchFinder2.






Seem
SEEM est un logiciel orienté système qui affichera un nombre important d’informations en relation avec l’utilisation de Windows. Son but est de simplifier l’accès aux informations de bases.
Ce logiciel est aussi capable de détecter les rootkits ancrés dans le coeur de Windows. Les dernières version ne supportent que windows XP et 2003. (dommage)





SafetyCheck
Ce détecteur de rootkit fonctionne sur les versions Windows 32bits équipé de 2000 ou XP. Le logiciel détecte les processus, drivers, hooks et SSDT.



Vice 2.0
est un outil qui trouvent les Hooks (IAT, EAT, SSDT, IRP).



ARIES Rootkit Remover
Lavasoft déjà connu pour son logiciel anti-spyware Ad-Aware, propose gratuitement son outil anti-rootkit.





Panda Anti-Rootkit (Tucan)
Simple et gratuit, l'utilitaire de Panda permet la détection et la supression des rootkits qui infestent nombre de machines. Le logiciel scan les processus actifs, la base de registre, et les disques dur. Un tutorial (sur le site) vous indique la démarche à suivre.





Avira Rootkit Detection
La société Avira déjà connu pour son antivirus gratuit (Antivir), vous propose de télécharger la version béta2 de son anti-rootkit, après inscription sur le site.





Process Master
Ce logiciel en version trial 30 jours permet de détecter et supprimer les processus cachés.





Rootkit Detective
est un outil développé par Mc Afee qui fonctionne comme une surveillance "proactif" c-à-d qu'il ne nécessite pas de mise à jour de signatures pour détecté et supprimer les rootkits qui infecte votre PC.





Rootkit Buster
RootkitBuster de Trend Micro offre la possibilité de scanner à la recherche de rootkit dans les fichiers, la base de registre, les processus et les drivers.





Strider GhostBuster
est le projet anti-rootkit de Microsoft.





RK Detector 2
A découvrir sur le même site IAT Analysis Module





API Hook Check
Comme son nom l'indique ce logiciel permet de lister les processus utilisant les fonctions API (Application Programming Interface) de windows.
Les API Hook sont très utilisés par les rootkits et autres programmes malicieux.
Cet outil affiche les nouvelles fonctions implémentées.



SysProt AntiRootkit
est le nouveau logiciel anti-rootkit de Swatkat. Les différents modules du logiciel permettent de vérifier : les processus, kernel modules, SSDT (System Service Descriptor Table), inline hook, ...
Version actuel : 1.0.0.3 Beta.

Url de téléchargement.





Les système LINUX ne pas épargnés, voici pour eux :
Zeppo
Rootkit Hunter
chkrootkit
Tripwire