Trước đây, trên BkavForum một số thành viên đã giới thiệu với các bạn các công cụ Anti-Rootkit tương đối mạnh như: APT, IceSword, Kernel Detective, cmcark,...
Hôm nay TuanAnh37 giới thiệu với các bạn một công cụ Anti-Rootkit "siêu nhẹ-siêu mạnh" với sức mạnh và các tiện ích của nó mang lại rất tối ưu và trực quan cho các bạn nghiên cứu các vấn đề tiêu diệt Virus bằng tay, mang tên XueTr (Anti-Virus & Rootkit Tools) -tương thích mọi phiên bản Windows. Với công cụ TuanAnh37 giới thiệu với các bạn sau đây nó còn làm được nhiều hơn thế nữa. Công cụ này TuanAnh37 được anh Lãng khách giới thiệu cách đây khá lâu, anh Lãng khách, anh Quang Hà và TuanAnh37 thường sử dụng công cụ này để Test các loại Virus (Không chơi với dòng lây file đâu nhé 
).
- XueTr hỗ trợ các phiên bản Windows bit sau:
Update 10/2/2013-1/1/2013 Âm lịch-Tết 2013 
Bản update ngày 31/1/2013 đã phát triển thành công cụ mới có tên là PCHunter
http://www.xuetr.com/download/PCHunter_free.zip
Windows 2000 SP4 (32-bit only)
Windows XP (32-bit only)
Windows Server 2003 (32-bit only)
Windows Vista (32-bit only)
Windows Server 2008 (32-bit only)
Windows 7 (32/64)
Windows 8 (32/64)
- Điều đáng nói ở đây là nó được phát triển bởi Linxer ở Trung Quốc, như ta đã biết, một số Virus xuất phát từ Trung Quốc khá "khó chịu" khi chúng ta bị lây nhiễm với độ phức tạp và các hậu quả của nó gây ra, vì thế các công cụ chuyên dụng của Trung Quốc khá tốt, đó là đánh giá của TuanAnh37.
- Với công cụ này chúng ta có thể loại bỏ ngay hầu hết các tiến trình có Self-Defense mạnh nhất, ví dụ điển hình là các tiến trình của Kaspersky, theo TuanAnh37 biết thì tại thời điểm này Self-Defense của Kaspersky là mạnh nhất, nó có thể loại bỏ ngay lập tức, thậm chí là xóa hoàn toàn khi Kaspersky đang hoạt động trên HĐH, điều mà các công cụ kể trên không làm được hoặc làm được nhưng không thể mạnh và dứt điểm bằng XueTr (Điều này các bạn tự đánh giá rồi nhận xét). Với XueTr nó có thể vượt qua NTFS permissions, thay đổi bất cứ thành phần nào trên hệ thống mà chúng ta cần.
- Truy cập và đọc tất cả các thành phần trên Partition, tuy cập thư mục Volume informations và có thể tác động mọi công việc lên các thành phần trong đó, điều mà các công cụ khác không thể làm được. Với công cụ này ngoài việc can thiệp sâu vào tầng hệ thống còn giúp chúng ta rất nhiều việc, kể như: Xóa, đổi tên, di chuyển, copy các file và thư mục cứng đầu (Xóa rất rất ngọt 
, xem và chỉnh sửa Registry, can thiệp vào các tầng Drivers của hệ thống, can thiệp vào các Kernel module, Hook Detector, System Callback Viewer, Network Viewer, Filter Viewer, ...
- Nói chung là rất mạnh, tùy vào khả năng và nhu cầu của mỗi người để sử dụng nó với mục đích riêng, TuanAnh37 chỉ là đứng ở góc độ Amater nên không giới thiệu nhiều hơn, các bạn sử dụng rồi đánh giá nó nhé.
Một số hình ảnh và thành phần về XueTr:
[IMG]
Kill tiến trình Avp.exe của Kaspersky chỉ với 1 click chuột là "bay thẳng".
Xem và chỉnh sửa Registry cho dù bị kiểm soát bởi phân quyền.
Tương tự, có thể thao tác với tất cả các file và Folder.
Bản mới nhất là XueTr 0.37
Tính tương thích hầu hết trên tất cả các phiên bản Windows, điều này IceSword hay cmcark và một số Tools Anti-Rootkit không (chưa) thể làm được.
-Ví dụ nhỏ để so sánh XueTr với cmcark, IceSword để Kill tiến trình Avp.exe của Kaspersky, với một Click chuột avp.exe của Kaspersky kết thúc ngay lập tức, nếu chúng ta chọn thêm tính năng Delete nữa thì avp.exe sẽ bốc hơi, với IceSword, cmcark thì không thể.
Khi chạy XueTr và một số công cụ Anti-Rootkit thì Kaspersky sẽ đưa ra câu hỏi "kèm theo" nhắc nhở, nếu đồng ý cho chạy XueTr thì Kaspersky không thể tiếp tục kiểm soát hành vi của XueTr nữa. (cmcark cũng được Kaspersky nhắc nhở). Và khi XueTr đã khởi động, thì không có gì chặn nó lại được cả, trừ khi đó là một Anti-Rootkit cực mạnh. TuanAnh37 giới thiệu qua vậy thôi, còn tính năng và cách làm việc của mỗi công cụ các bạn tự tìm hiểu.
Với IceSword: Không có chức năng xóa bỏ tiến trình đang chạy.
Với cmcark: Yêu cầu kết thúc phiên làm việc của HĐH mới thực hiện việc xóa bỏ, một số chương trình khác cũng có chức năng tương tự (Xóa bỏ sau khi Reboot).
Một ví dụ khác là cho các công cụ Anti-Rootkit xử nhau, TuanAnh37 cho chạy một lúc 3 công cụ Anti-Rootkit: IceSword, cmcark, XueTr và lần lượt cho từng công cụ xử nhau.
- Cho IceSword kill cmcark -> Kết thúc tiến trình ngay lập tức. 
- Cho IceSword kill XueTr -> Chớp 1 cái, không hề có tác động gì, tiến trình của XueTr vẫn chạy. 
- Cho cmcark kill IceSword -> Báo kill thành công, IceSword tự gọi lại ngay lập tức.
- Cho cmcrak kill XueTr -> Xuất hiện thông báo Crashing process failed -> Không thể kill. 
- Cho XueTr kill 2 công cụ Anti-Rootkit nói trên -> 1 Click chuột kết thúc 1 lúc 2 em. 
(Tất cả đều được lựa chọn ở mức Kill cao nhất của mỗi công cụ có.)
Ví dụ nhỏ như thế ta cũng đánh giá sơ qua về Self-Defense của 3 công cụ Anti-Rootkit kể trên. TuanAnh37 giới thiệu sơ qua về XueTr như thế (Khả năng có hạn 
), việc còn lại dành để người sử dụng đánh giá nó. Với một số tính năng điểm qua như thế thì khó có loại Malware nào thoát khỏi tầm kiểm soát của XueTr (không kể dòng lây file). Đây là công cụ mà TuanAnh37 thích nhất và thường trực trong USB cứu hộ, TuanAnh37 tin rằng nó sẽ là một công cụ hỗ trợ rất tốt (phải nói là tốt nhất) cho các bạn.
Còn về việc khả năng phát hiện và tiêu diệt Rootkit thì ta bàn sang một hướng khác, cần có đại diện của các tổ chức nghiêm túc đánh giá về sức mạnh của các công cụ đó.
Update phiên bản mới nhất: http://www.xuetr.com/download
Ghé thăm site này để thường xuyên Update phiên bản mới.
HomePage:
Code:
http://www.xuetr.com/download
Nguyên văn bởi
ducanhnguyen2k
PS: Bạn nào không chắc chắn với những hiểu biết của bản thân về Windows thì không nên dùng XueTr thao tác với các file và Folder, Registry, các File hệ thống,..., để tránh gây ra hậu quả nghiêm trọng. 
[Update 64bit] Công cụ hỗ trợ diệt Virus "bằng tay" siêu mạnh-XueTr [Anti-Virus & Rootkit]
