Caractéristiques aux vues des premiers essais effectués avec trois systèmes Windows XP SP2 ,
deux « Pro » et un « Home edition », avec, dans un des cas, un lancement depuis une clé USB,
en présence de Avast! Antivirus ou Antivir, Spyware Terminator, IceSword, RkUnhooker ...
Comme les autres ARKs, Avast! Antirootkit tool fonctionne dans un compte avec des droits d'administrateur. Si le votre n'en dispose pas ou plus, voyez -> ICI.
[1] Installation et fonctionnement. ... Pas d'installation au sens traditionnel du terme ...
Dans les exemples ci-dessous, le programme swar.exe », a été renommé « avast! antirootkit tool 0.9.6 swar.exe » avant le lancement, pour éviter les parades d'éventuels maliciels qui se baseraient sur son nom d'origine pour le contrer,
Au cours de son exécution, Avast! Antirootkit crée
- Un fichier « .log » dans le répertoire d'où il a été lancé pour mémoriser le résultat du scan effectué.
- Des fichiers de travail dans \Documents ans Settings\xxx\Local Settings\Temp
[2] Clés de "Registre Windows"
Relativement peu de clés ajoutées dans le Registre.
[3] Processus, "driver" et "bibliothèque".
- Un seul processus, « swar.exe », ici renommé « avast! antirootkit tool 0.9.6 swar.exe »,
- un "driver" « aswArKrn.sys »,
- une bibliothèque logicielle « aswArHlp.dll »
[4] Vu par IceSword et RkUnhooker.
Un message d'alerte de IceSword lancé après Avast! Antirootkit, quand les [Advanced Settings] sont sélectionnés.
Très faible consommation en mémoire, quelques crochetages dans les « Messages Hooks » ...
De très nombreux crochetages "Inline" ...
Les mots entre " " ont une explication dans le Lexique du Windows furtif