SDelete

Программа SDelete выполняется в командной строке и поддерживает ряд параметров. При любом из вариантов использования она позволяет удалить один или несколько файлов или папок или обработать свободное место на логическом разделе. Программа также поддерживает использование символов шаблона в качестве части имен файлов или папок.

У программы SDelete нет возможности выделения свободного пространства в структурах данных директорий для безопасной очистки этого пространства.

Ее можно использовать как для удаления существующих файлов, так и для очистки данных, расположенных на свободных участках жесткого диска (включая уже удаленные или зашифрованные файлы).

Синтаксис: sdelete [-p количество_проходов] [-s] [-q] <файл или папка> sdelete [-p количество_проходов] -z [буква диска]

-p количество_проходов - Количество проходов перезаписи.

-s - Рекурсивный обход вложенных папок.

-q - Не выводить на экран ошибки (тихий режим).

-z - Произвести очистку свободного места.

Пример: sdelete –c

Команда выполняет очистку свободных участков диска С.

RootkitRevealer

RootkitRevelaver является программой с расширенными возможностями для обнаружения rootkit-программ. Она выводит список несоответствий результатов работы API-интерфейсов файловой системы и реестра реальным данным. Эти несоответствия могут означать наличие rootkit-программы, работающей в пользовательском режиме или в режиме ядра. Программа RootkitRevealer успешно обнаруживает все постоянные rootkit-программы, включая такие, как AFX, Vanquish и HackerDefenter. Обратите внимание, что RootkitRevealver не предназначена для определения вредоносных программ вроде программы Fu, которые не пытаются скрывать свои файлы и разделы реестра.

Для работы программы RootkitRevelaver требуется, чтобы учетной записи, с правами которой выполняется программа, были назначены привилегии резервного копирования файлов и папок, загрузки драйверов и выполнения задач обслуживания томов (в ОС Windows XP и более поздних версиях). По умолчанию члены группы “Администраторы” обладают этими привилегиями. Для уменьшения количества ошибочных результатов запускайте программу RootkitRevealer на простаивающей системе.

Для выполнения сканирования запустите программу RootkitRevealer и нажмите кнопку Scan (“Начать сканирование”). Программа выполнит сканирование системы. Во время сканирования действия программы будут отображаться на панели состояния внизу окна программы, а обнаруженные несоответствия в списке результатов. Ниже приведен список доступных для настройки параметров (меню Options):

•	Hide NTFS Metadata Files (скрывать файлы метаданных NTFS): программа не отобразит стандартные файлы метаданных NTFS, которые скрыты от интерфейса Windows API. Этот параметр по умолчанию активен;
•	Scan Registry (сканировать реестр): этот параметр по умолчанию активен. Если его деактивировать, программа не будет производить сканирование реестра.

Программа выводит имя объекта, временную метку, размер объекта и причину, по которой объекту присвоили несоответствие.

С отображением файлов метаданных разделов NTFS:

Метаданные относятся к несоответствиям, так как они скрыты от команд Windows API.

Необходимо изучить все несоответствия и определить вероятность того, что то или иное несоответствие является знаком присутствия rootkit-программы. К сожалению, не существует гарантированного способа указать на наличие или отсутствие таких программ, основываясь на данных результата сканирования. Поэтому все перечисленные несоответствия необходимо проанализировать, чтобы убедиться в объяснимости причин их наличия.