Una de las herramientas de sysinternals ahora adquirida por Microsoft
RootkitRevealer (RKR) es un avanzado detector de rootkits [1] para Windows, tanto en modo usuario como en modo kernel.
Tras descargar el programa, basta descomprimirlo y pulsar el botón Scan del ejecutable. Para no ser detectado por los creadores de malware, RKR se ejecuta como servicio bajo una copia de nombre aleatorio.
RootkitRevealer compara los resultados del escaneo de un sistema al nivel más alto (la API de Windows) y al más bajo (formato de almacenaje en disco del Registro, denominado por RKR como Registry hive). De este modo un rootkit que manipula la API de Windows o una API nativa para ocultarse de un comando dir, por ejemplo, será visto por RKR como una discrepancia entre la información devuelta por la API y lo que detecta el escaneo a bajo nivel de la estructura de un sistema de ficheros FAT o NTFS…