Il est capable de détecter une majorité des rootkits et les hooks effectués par les rootkits : SSDT Hook, les processus cachés, les drivers cachés, les fichiers cachés, des détections de code affectuant des hooks.
(Les hooks étant les crochets afin de rediriger les appels systèmes vers le rootkit pour fausser les résultats et pouvoir se cacher).
Il est aussi capable de supprimer ces hooks.
Sur cette capture.. RkUhooker détecte le rootkit Pe386/Rustock
On peut voir l'ADS $DATA Idu fichier
Les Inline sur les processus explorer.exe/iexplorer.exe sont dûs au rootkit Zlob / Trojan.DNS (fichier kdxxxx.exe) qui est un rootkit assez répandu effectuant des redirections lors des recherches sur Google
Sur cette capture, on peut voir les détections de Code Hook.
RkUnhooker permet de supprimer ces hooks ce qui désactivent le rootkit qui n'est alors plus caché.
Le driver Izx32 du rootkit Pe386/Rustock , ce dernier est bien sûr noté en caché.
Le fichier du driver du rootkit Pe386/Rustock caché (ADS).. il est bien sûr possible de supprimer le fichier. Clic droit puis "Wipe".
On peut aussi copier le fichier pour le récupérer.
