19. Rootkit detectors （隐形工具包检测器 5个）

Sysinternals提供了许多小型Windows实用程序，对于低级别的Windows黑客攻击来说非常有用。 一些是免费的和/或包括源代码，而其他是专有的。 调查受访者最喜欢：
ProcessExplorer 用于查看任何进程打开的文件和目录（如UNIX上的lsof）。
Pstools 用于管理（执行，暂停，杀死，细化）本地和远程进程。
Autoruns 用于发现在系统启动或登录期间可执行文件设置为自动运行。
RootkitRevealer 用于检测标明可能存在用户模式或内核模式rootkit的注册表和文件系统API差异。
TCPView 用于查看每个进程使用的TCP和UDP流量端点（如UNIX上的Netstat）。
许多Sysinternals工具最初都附带源代码，甚至还有Linux版本。 Microsoft于2006年7月收购了Sysinternals，承诺“客户将能够继续建立Sysinternals的高级实用程序，技术信息和源代码”。 不到四个月后，微软删除了大部分的源代码。

文件和目录完整性检查器。 Tripwire是一种工具，可帮助系统管理员和用户监视指定的一组文件进行任何更改。 Tripwire可以通常（例如每日）与系统文件一起使用，可以通知系统管理员已损坏或被篡改的文件，因此可以及时采取损害控制措施。 习惯上是一种开源的工具，Tripwire公司现在专注于他们的商业企业配置控制产品。 SourceForge http://sourceforge.net/projects/tripwire/ 上仍然可以找到一个开源的Linux版本。 UNIX用户可能还想考虑AIDE，它被设计为免费的Tripwire替换品。 或者您可能希望调查Radmind http://www.radmind.org/ ，rkhunter http://rkhunter.sourceforge.net/ 或chkrootkit http://www.chkrootkit.org/ 。 Windows用户可能喜欢Sysinternals http://sectools.org/tool/sysinternals/ 的RootkitRevealer http://technet.microsoft.com/en-us/sysinternals/bb897445.aspx 。

DumpSec是Microsoft Windows NT / XP / 200x的安全审核程序。 它以简洁易读的格式转储文件系统，注册表，打印机和共享的权限（DACLs）和审核设置（SACLs），以便系统安全性中的漏洞显而易见。 DumpSec还会转储用户，组和回复信息

HijackThis检查计算机的浏览器和操作系统设置，以生成其当前状态的日志文件。 它可以有选择地删除不需要的设置和文件 其主要重点是网页浏览器劫持。 最初它是由Merijn Bellekom编写的免费软件，但现在由 Trend Micro发布。

AIDE（高级入侵检测环境）是一个rootkit检测器，Tripwire免费替代品。 它使重要系统文件的加密散列并将其存储在数据库中。 然后，它可以报告哪些文件已更改。