Rootkit Unhooker © 2006-2007 est développé par des informaticiens anonymes connus sous des pseudonymes. "EP_X0FF" ("EvilPhantasy") et "MP_ART" ont assuré l'essentiel, mais ils ont été aidés par "< DnY >" et d'autres bénévoles. Majoritairement, ils se réclament de l'UG North.
L'essentiel de son développement s'est fait au second semestre 2006 et au début de 2007, mais il continue et la version 4.0 est prévue pour le deuxième semestre 2007.
Par rapport à d'autres anti-rootkits, RkU apporte une capacité supérieure de détection des fichiers cachés et des modifications effectuées dans le noyau grâce, entre autres, à ...
- ses consultations « à bas niveau » des fichiers systèmes en leur état original sur le disque dur pour une comparaison avec les éléments en mémoire,
- des recherches de crochets (hooks) effectués par les processus et drivers en cours d'exécution ...
- dans de nombreuses tables de travail du système Windows, 'EAT', 'IAT', 'SSDT', 'GDT', 'IDT' ...
- dans les 'IRP' (I/O request packets) et les 'ADS' (Alternate Data Stream).
- la détection des 'inline hooks', quand un 'processus', 'driver' ou 'bibliothèque logicielle' modifie le 'code' d'un autre processus, driver ou bibliothèque logicielle, généralement en y remplaçant certaines instructions par des instructions de détournement vers un nouveau traitement – 'handler' - sous contrôle du rootkit, par le biais d'une fonction de rappel asynchrone (event handler - asynchronous callback subroutine).
- la technique de détection de 'DKOH' dans les objets du noyau ... Kernel Object Hooking Rootkits (Greg Hoglund). Dans ce cas, la restauration du noyau en l'état original ne peut cependant pas (encore) être faite.
- Etablissement d'un rapport complet des crochetages détectés,
- Possibilité de 'dump' d'un composant du système altéré en mémoire, pour une analyse approfondie (Core dump) - enregistrement sur le disque sous forme de fichier).
- Restauration des éléments crochetés du 'noyau' : « décrochage » et remise en leur état original.
- Broyage des fichiers malsains découverts.
Différents thèmes abordés ...
- >>> Environnement, installation et précautions avant le lancement.
- >>> Modules de détection des crochets et intrusions ... suite.
- >>> Paramètres et fonctions ... suite.
- >>> Techniques de développement et liens (téléchargement etc.).