Drivere er svært kritiske i Windows fordi en dårlig kodet driver vil gjøre Windows ustabil og forårsake krasj med blå skjerm. Det meste av tiden har en driverfil en .sys-forlengelse. Når noen bruker ordet “lavt nivå”, “kjernen” eller “ring0” i Windows, betyr det også driver.
For eksempel bruker en lavt nivå keylogger som Elite Keylogger av Widestep en signert driver for å fange tastetrykk på tastaturet. Royal Hack, et kjent jukseverktøy for CounterStrike, bruker ring0-driver for å unngå Valve Anti-Cheat (VAC) -deteksjon. Rootkits er en type malware som bruker driver for å skjule eksistensen og forhindre at den lett blir oppdaget. Mye sikkerhetsprogramvare som antivirus, Zemana Anti-Logger, KeyScrambler Premium bruker også drivere. Som du kan se, drivere er veldig kraftige og heldigvis er det ikke noe som enhver programmerer kan kode.
Det er ganske mange virkelig kraftige verktøy som GMER som kan brukes til å se etter rootkits, men de kan være litt for forvirrende for normale eller uerfarne databrukere. Et verktøy som jeg kan foreslå deg å prøve ut er DriverView opprettet Nir Sopher som er kjent for å gi ut nyttige verktøy som er gratis og bærbare. I utgangspunktet er DriverView et veldig lite verktøy med bare 33 kB størrelse som viser alle driverne som er lastet inn i Windows-operativsystemet. Den viser mye nyttig informasjon om driverne som filnavn, firma, produktnavn, beskrivelse, versjon, opprettet og endret dato, bane, filtype, tjeneste og visningsnavn.
De markerte linjene er driverfiler av Elite Keylogger og Invisible Keylogger Stealth
De fleste av de lastede driverne er av Microsoft, og generelt er de stabile og trygge. Du kan enkelt forkorte listen ved å klikke på Vis fra menylinjen og velge Skjul Microsoft drivere der bare tredjepartsdrivere vil vises. Nå kan du undersøke driverne som ikke er fra Microsoft for å se om du har noen mulige ondsinnede drivere ved å søke etter filnavnet i Google og laste det opp til VirusTotal for å få det skannet med 42 forskjellige antivirus. Vær oppmerksom på at DriverView ikke har muligheten til å fjerne eller slette driveren.
Du bør legge merke til at det er 3 ukjente drivere som er dump_dumpata.sys, dump_dumpfve.sys og dump_msahci.sys oppført i DriverView på Windows 7. Hvis du høyreklikker på en av de tre driverne fra DriverView og velger File Properties, vil du få feil popup som sier “ Windows finner ikke C: \ Windows \ System32 \ Drivers \ dump_msahci.sys. Forsikre deg om at du skrev navnet riktig, og prøv igjen “.
Disse tre filene er ikke rootkits eller noe farlig, men er relatert til å lage minnedumps når Windows 7 krasjer. Du kan enkelt deaktivere de 3 ukjente driverne dump_dumpata.sys, dump_dumpfve.sys og dump_msahci.sys fra å gå til Kontrollpanel> System> Avanserte systeminnstillinger> klikk på Innstillinger-knappen for oppstart og gjenoppretting> klikk på rullegardinmenyen fra Skriv feilsøkingsinformasjon og velg (ingen). Klikk OK for å lukke alle Windows, start datamaskinen på nytt, og de tre driverne vises ikke lenger i DriverView.
Så nyttig som DriverView er, etter ytterligere tester oppdaget jeg at DriverView bare leser VERSIONINFO-ressursen som kan bli funnet i kategorien Detaljer når du høyreklikker på filen og velger Egenskaper. Det mangler evnen til å lese navnet på signatøren for Digital Signature. Man kan enkelt redigere en ondsinnet rootkit-driverfilegenskaper ved hjelp av en ressursredigerer eller en krypter, og DriverView vil tro at den hører til Microsoft og til og med muligens skjule den fra å bli vist når alternativet “Skjul Microsoft drivere” er aktivert. Å få et sertifikat for signering av digital kode er imidlertid ikke enkelt. Det animerte skjermbildet nedenfor er et bevis på at DriverView leser VERSIONINFO, men ikke den digitale signaturen. Se tilbake til det første skjermbildet for å se informasjonen som vises av DriverView for filen RDPCDD2k.sys.
DriverView er gratis, bærbar og fungerer på Windows 2000, Windows NT, Windows XP, Windows Vista, Windows 7 og Windows Server 2003/2008, både 32-bit og 64-bit.
Last ned DriverView
