RogueKiller是一種反惡意軟件能夠檢測(cè)并刪除通用惡意軟件和先進(jìn)的威脅一樣的rootkit，盜賊，蠕蟲(chóng)。它還檢測(cè)爭(zhēng)議的程序（PUP），以及可能出現(xiàn)的壞系統(tǒng)修改/損壞（PUMS）。

軟件說(shuō)明：

RogueKiller是一個(gè)經(jīng)常和先進(jìn)的掃描儀的混合。

這意味著我們正在盡最大的目標(biāo)感染和刪除它們，而不需要用戶(hù)成為惡意軟件的專(zhuān)家。

但在某些情況下，這是不可能的和啟發(fā)式引擎講述的東西是可疑的，您需要專(zhuān)家的意見(jiàn)告訴你刪除與否的項(xiàng)目。

同樣，如果你不知道你在做什么，請(qǐng)?jiān)儐?wèn)。它從未傷害要求。

功能特點(diǎn)：

1. 預(yù)掃描

預(yù)掃描是盡快啟動(dòng)你開(kāi)始RogueKiller。

它可以?huà)呙璨⑼Ｖ箰阂膺M(jìn)程，惡意服務(wù)，加載驅(qū)動(dòng)程序，并做一些版本檢查。

它不會(huì)在電腦上刪除任何東西，所以此時(shí)一個(gè)簡(jiǎn)單的重新啟動(dòng)恢復(fù)一切都在初始狀態(tài)（包括惡意軟件）。

不需要任何操作，除非接受EULA的第一次。

RogueKiller可以檢測(cè)到可用的新版本，并提供下載。

您可以選擇接受（并重定向到下載頁(yè)面，如果沒(méi)有一個(gè)高級(jí)用戶(hù)）或下降。

在這種情況下，您可以繼續(xù)使用該程序的過(guò)時(shí)的版本。強(qiáng)烈建議始終運(yùn)行最新版本！

停止的進(jìn)程列表/服務(wù)在進(jìn)程選項(xiàng)卡中找到。

重要說(shuō)明：“驅(qū)動(dòng)程序”圖標(biāo)（綠/紅方）變?yōu)榫G色后的驅(qū)動(dòng)程序加載。

該驅(qū)動(dòng)程序無(wú)法加載，如果版本（32/64位）不匹配你的電腦是什么。

驅(qū)動(dòng)程序是沒(méi)有必要的惡意軟件清除，但它是有用的搜索/摧毀的rootkit在內(nèi)核中，所以請(qǐng)確保您下載正確的版本。

2. 掃描

掃描觸發(fā)的掃描按鈕。這是一次預(yù)掃描完成后的第一個(gè)自然的一步。

掃描是不修改系統(tǒng)中的處理，因?yàn)樗�列出的�?wèn)題，并顯示它們。

一旦掃描完成后，一個(gè)文本報(bào)告可通過(guò)單擊報(bào)告按鈕（您可以在HTML，文本或JSON格式導(dǎo)出）。

檢測(cè)COLORS：

在RogueKiler，檢測(cè)顏色標(biāo)準(zhǔn)化。

- 紅色：已知惡意軟件 - 檢出率最高

- 橙色：可能的惡意軟件 - 通常有一個(gè)可疑的路徑，或者被標(biāo)記為PUP / PUM（潛在有害程序/修改）

- 綠色：不知道惡意軟件 - 這意味著該項(xiàng)目只是顯示的信息，但不應(yīng)該被刪除（除非你決定它是）

修復(fù)缺失：

該刪除通過(guò)單擊刪除按鈕觸發(fā)..之前，用戶(hù)必須檢查上一掃描結(jié)果到不同的選項(xiàng)卡，或用文字報(bào)告。

如果某些項(xiàng)目看起來(lái)合法的，你必須刪除之前取消選中它（并通過(guò)電子郵件通知他們的團(tuán)隊(duì)，請(qǐng)）的可能性。

不同于掃描，刪除修改系統(tǒng)，因?yàn)檫@是惡意軟件的方式，必須清除。然而，每一個(gè)修改的是第一個(gè)被隔離。

一旦刪除完成時(shí)，一個(gè)文本報(bào)告可通過(guò)點(diǎn)擊報(bào)告按鈕。

該程序可能會(huì)要求重新啟動(dòng)計(jì)算機(jī)。

如果出現(xiàn)這種情況，你應(yīng)該接受，因?yàn)橐恍�惡意軟件也只能在重新啟�?dòng)后會(huì)被刪除并可能被重新激活，否則。

HOSTS 修復(fù)：

Hosts文件是Windows配置文件，從而使域名重定向到一些IP地址。

我們通常用它來(lái)禁止訪問(wèn)的網(wǎng)站，或者綁定本地地址（例如：192.168.1.12）

下面是一些合法的重定向的例子：

127.0.0.1本地主機(jī)（默認(rèn)情況下，Windows主機(jī)文件）

127.0.0.1 www.malware_website.com（阻止訪問(wèn)危險(xiǎn)網(wǎng)站）

192.168.1.12 my_local_website（文本地址綁定到本地IP）

惡意軟件可以使用它來(lái)重定向合法的Web地址惡意軟件的服務(wù)器，并順便感染新的用戶(hù)。這里的惡意軟件使用的例子：

123.456.789.10 www.google.com（重定向一個(gè)眾所周知的網(wǎng)站，一個(gè)不知名的IP - 惡意軟件的服務(wù)器）

165.498.156.14 www.facebook.com（重定向一個(gè)眾所周知的網(wǎng)站，一個(gè)不知名的IP - 惡意軟件的服務(wù)器）

這些線必須清除。

在主機(jī)選項(xiàng)卡掃描后的hosts文件內(nèi)容顯示，或者在與部分在報(bào)告中相同的名稱(chēng)。

主機(jī)修復(fù)按鈕可以用來(lái)與默認(rèn)情況下，唯一的現(xiàn)有生產(chǎn)線重置該文件的內(nèi)容：127.0.0.1本地主機(jī)

ANTIROOTKIT TAB

該Antirootkit選項(xiàng)卡顯示有關(guān)由一個(gè)rootkit成為可能的系統(tǒng)修改的信息：

- 系統(tǒng)服務(wù)調(diào)度表（SSDT） - 顯示大呼過(guò)癮的API。

- 影子SSDT（S_SSDT） - 顯示大呼過(guò)癮的API。

- 內(nèi)聯(lián)SSDT - 顯示鉤住熱修補(bǔ)的API。

- IRP掛鉤 - 顯示與迷上主要功能的驅(qū)動(dòng)程序。

- IAT / EAT鉤 - 顯示包含注入的代碼的DLL的過(guò)程。

重要提示：由Antirootkit上市的系統(tǒng)修改僅供參考。

它們不能被檢查除去，因?yàn)樗鼈儾皇菒阂廛浖�本身，一個(gè)可能的惡意軟件只是一個(gè)后果。

除去這些項(xiàng)目將是無(wú)用的，對(duì)于系統(tǒng)的穩(wěn)定性有潛在危險(xiǎn)。

MBR TAB

在MBR選項(xiàng)卡顯示本機(jī)的主引導(dǎo)記錄（MBR）的信息。

這是硬盤(pán)驅(qū)動(dòng)器，其中包含有關(guān)分區(qū)的大小/位置和引導(dǎo)代碼，允許啟動(dòng)一個(gè)啟動(dòng)盤(pán)的操作系統(tǒng)這兩個(gè)信息的第一個(gè)扇區(qū)。

一些惡意軟件被稱(chēng)為Bootkits，如TDSS，MaxSST或砸死修改任何代碼（引導(dǎo)）推出自己的模塊或分區(qū)表引導(dǎo)的假分區(qū)，并開(kāi)始自己的模塊在操作系統(tǒng)啟動(dòng)之前（和防病毒保護(hù)�。�。

RogueKiller允許檢測(cè)和刪除bootkits，甚至當(dāng)他們?cè)噲D隱藏自己。

一些提示可以表明，MBR是合法的：自舉是已知的，合法的。

然后，將不同的嘗試讀取MBR（不同級(jí)別）返回相同的結(jié)果（這意味著在MBR不隱藏）。

- 這里有干凈的膜生物反應(yīng)器的一個(gè)例子。自舉（BSP）是合法的（Windows XP）中，用戶(hù)讀取，LL1和LL2返回同樣的事情。

MBR Verif：+++++ PhysicalDrive0：VBOX HARDDISK +++++

- 用戶(hù) -

[MBR] c708b764ca9daa4f8f33e4e8b3b517da

[BSP] f4eb87199eee8a432bb482bb55118447：Windows XP的MBR代碼

分區(qū)表：

0 - [激活] NTFS（0×07）[可見(jiàn)]偏移（行業(yè)）：63 |尺寸：4086莫

用戶(hù)= LL1 ... OK！

用戶(hù)= LL2 ... OK！

- 這里有傳染性MBR的例子。自舉（BSP）是合法的（視窗7），但該LL1方法返回不同的東西。最后，還有一個(gè)Ghost分區(qū)隱藏的rootkit的（MaxSST）。

MBR Verif：¤¤¤+++++ PhysicalDrive0：日立HDS721032CLA362 +++++

- 用戶(hù) -

[MBR] a1e2c1a0c1fb3db806dcbb65fdbf8384

[BSP] 0dc0d942fc9152dc059c7e021d2ad3db：Windows 7的MBR代碼

分區(qū)表：

0 - [激活] NTFS（0×07）[可見(jiàn)]偏移（行業(yè)）：2048 |大小：百口莫

1 - [XXXXXX] NTFS（0×07）[可見(jiàn)]偏移（行業(yè)）：206848 |大�。�305129莫

用戶(hù)！= LL1 ...... KO！

- LL1 -

[MBR] 501fcd9f60449033a7b892d424337896

[BSP] 0dc0d942fc9152dc059c7e021d2ad3db：Windows 7的MBR代碼[2可能maxSST！]

分區(qū)表：

0 - [XXXXXX] NTFS（0×07）[可見(jiàn)]偏移（行業(yè)）：2048 |大�。喊倏谀�

1 - [XXXXXX] NTFS（0×07）[可見(jiàn)]偏移（行業(yè)）：206848 |大小：305129莫

2 - [激活] NTFS（0x17已）[！HIDDEN]偏移量（行業(yè)）：625113088 |尺寸：10莫

- 下面是感染MBR的另一個(gè)例子。自舉（BSP）感染MaxSS.t。

¤¤¤MBR檢查：¤¤¤+++++ PhysicalDrive0：ST9500325AS +++++

- 用戶(hù) -

[MBR] 318e94ac5cf893f8e2ed0643494e740e

[BSP] 07a9005ccf77d28c668138e4d4a42d65：MaxSS MBR代碼！

分區(qū)表：

0 - [XXXXXX] FAT32-LBA（0x1C處）[！HIDDEN]偏移量（行業(yè)）：2048 |大小：13000莫

1 - [激活] NTFS（0×07）[可見(jiàn)]偏移（行業(yè)）：26626048 |大�。�119235莫

2 - [XXXXXX] EXTEN-LBA（為0x0F）[可見(jiàn)]偏移（行業(yè)）：270819328 |大�。�344703莫

用戶(hù)= LL1 ... OK！

用戶(hù)= LL2 ... OK！

當(dāng)MBR被感染，就可以通過(guò)檢查MBR選項(xiàng)卡中的相應(yīng)行恢復(fù)。

Web瀏覽器

RogueKiller可以檢查Web瀏覽器的配置和插件。

配置線僅表示如果他們是惡意的或可疑的，而所有的插件都顯示出來(lái)。

關(guān)于插件，只有該惡意軟件插件顯示在文本報(bào)告，或那些選擇刪除。

重要提示：這是非常重要的一點(diǎn)是列出的所有插件不一定是惡意軟件，你不應(yīng)該檢查所有這些，刪除，請(qǐng)看看檢測(cè)顏色和供應(yīng)商名稱(chēng)。

HONEY模塊

RogueKiller能夠讀取的Windows蕁麻疹在離線模式，以及消毒的啟動(dòng)文件夾：

- 清潔位于外部硬盤(pán)驅(qū)動(dòng)器（除系統(tǒng)硬盤(pán)驅(qū)動(dòng)器等）上的操作系統(tǒng)。

- 清潔機(jī)器從現(xiàn)場(chǎng)光盤(pán)啟動(dòng)（例如：OTLPE）

當(dāng)一個(gè)rootkit隱藏/保護(hù)其注冊(cè)表項(xiàng)時(shí)，或者當(dāng)計(jì)算機(jī)受勒索鎖定這可能是有用的。

使用方法

1 下載完成后不要在壓縮包內(nèi)運(yùn)行軟件直接使用，先解壓；

2 軟件同時(shí)支持32位64位運(yùn)行環(huán)境；

3 如果軟件無(wú)法正常打開(kāi)，請(qǐng)右鍵使用管理員模式運(yùn)行。

更新日志

1、性能體驗(yàn)優(yōu)化提升

2、修復(fù)了已知bug