针对windows rootkit的一些检测，分别从进程、端口、文件这三个方面进行检测。

只需要在目标终端上以管理员权限运行“atrk-win.bat”，

检测结果除了在控制台显示，也会在当前目录输出几个csv文件： atrk-fhf.csv，atrk-ports.csv，atrk-ps.csv。

• 纯ring3思路实现的检测rootkit隐藏的情况。
• 支持xp-最新操作系统。

目前由三个小工具：ps、ports、rawdir分别实现从进程、端口、文件的隐藏信息检测。以下是三个小工具的实现原理介绍。

• rawdir工具介绍

  rawdir工具支持快速生成指定一个或多个分区的EFU Everything文件列表，例如针对C：和D:，执行:

  rawdir.exe dir CD saveto.efu

  就可快速保存C盘和D盘的完整目录文件列表信息，支持NTFS和FAT两种磁盘格式。

  隐藏文件的检测原理，简言之，rawdir获取文件列表信息时，会从最底层磁盘设备\\.\PhysicalDrive0去解析目录信息。然后再使用常用的系统API列举目录信息，从两者结果进行对比发现差异。

• ps的隐藏进程检测原理

  目前使用了3种方法，2种是不常用的获取进程列表信息的方法，另一种是暴力OpenProcess搜索有效的PID。然后再用常用的API获取系统进程信息，通过和常用API的结果进行对比发现差异。

• ports的隐藏端口检测原理

  使用暴力bind端口从1-65535，发现一批绑定失败的端口。然后再用常用的API获取系统本地端口信息，如果绑定失败的端口却不在正常获取的端口列表里面，则是可疑的。