McAfees Rootkit Detective

McAfee bietet in seinem “Threat Center” neben einer neuen Version von “Avert Stinger” auch ein Tool namens “Rootkit Detective”, das Rootkits aufspüren soll.

Zur Zeit befindet es sich noch im Beta-Status, soll aber sowohl versteckte Prozesse und Dateien, als auch versteckte Registry-Einträge finden.

Es sind jedoch schon einige Probleme mit dem Programm bekannt:

  • This tool will detect registry entries pertaining to McAfee Entercept Products if installed on your system.
  • This tool will detect mfehidk.sys file pertaining to McAfee Antispyware Enterprise (Standalone) as a hooked service.
  • This tool will detect IAT/EAT hooks in Windows 2000 SP4 system pointing to shim.dll.
  • This tool will detect vsdatant.sys from Zone Alarm as hooked service for rootkit like behavior.
  • This tool will detect Goback2k.sys as hooked service on system having Go Back software installed system for rootkit like behavior.
  • This tool will detect fsndis5.sys as hooked service from F-Secure if F-Secure Internet Security Suite 2006 is installed on the system.
  • This tool will detect klif.sys as hooked service from Kaspersky if Kaspersky Internet Security 2006 is installed on the system.
  • This tool will detect FireTDS.sys as hooked service from McAfee if McAfee Desktop Firewall is installed on the system.
  • This tool will detect Hidsys.sys as hooked service from McAfee if McAfee Host Intrusion Prevention is installed on the system.
  • This tool will detect Service Name ZwCreateThread when VSE product is installed on the system.
  • This tool will not run on Windows 2000 platforms when Kaspersky Internet Security 2006 is installed.
  • This tool will detect many IAT/EAT hooks and SSDT hooks of legitimate applications.

Es gibt also noch einigen Verbesserungsbedarf, vor Allem weil das Tool teilweise eigene Produkte aus dem Hause McAfee als Rootkits erkennt.


Das Tool läuft auf Windows-Systemen, auf welchen XP (Home | Pro) mit SP2 bzw. 2000 (Server: SP1; Professionell: SP4) installiert ist.

