KprocCheck es un programa que detecta rootkits.
KprocCheck usa varias técnicas para hacer esto, las técnicas se detallan en el sitio web (Inglés):

[Enlace externo eliminado para invitados]



-P se utiliza para detectar rootkits que hookean la SSDT sobre la ZwQuerySystemInformation API.
-S puede detectar rootkits que realizan una separación Flink / Blink de EPROCESS (DKOM (manipulación directa de objetos del kernel)
-T permite listar los módulos del kernel (controladores)
-G lista los hooks GDI sobre la SSDT
-U descargar el driver KprocCheck.sys

Las pruebas se realizaron en una máquina infectada con Rustock (variante xpdt.sys) y Trojan.Wopla (proceso koos.exe / Servicio KProf / prueba) y por último Magic.Control (behcgvj.exe)



En esta imagen podemos ver que KprocCheck-s detecta sin problemas al proceso de koos.exe y behcgvj.exe



La opción KprocCheck -t permite visualizar el driver xpdt.sys Rustock

Descarga:

[Enlace externo eliminado para invitados]

Saludos !

Gracias amigo lo he probado en Windows 7 Ultimate 32 bits y me dice solo compatible con win2k (lo que seria Windows XP), le hice la compatibilidad del sistema y arranco bien solo que puedes me salia mensaje...

Error loading kernel support driver!
Make sure you are running this as Administrator.

El cmd.exe lo abri con permisos de administrador, esto no va con windows 7 ¿verdad?