Driver sangat penting di Windows karena driver yang berkode buruk akan membuat Windows tidak stabil dan menyebabkan crash dengan layar biru kematian. Sebagian besar waktu file driver memiliki ekstensi .sys. Ketika seseorang menggunakan kata "level rendah", "kernel" atau "ring0" di Windows, itu juga sebenarnya berarti driver.
Misalnya, keylogger tingkat rendah seperti Elite Keylogger oleh Widestep menggunakan driver yang ditandatangani untuk menangkap penekanan tombol pada keyboard Anda. Royal Hack, alat curang terkenal untuk CounterStrike menggunakan driver ring0 untuk menghindari deteksi Valve Anti-Cheat (VAC). Rootkit adalah jenis malware yang menggunakan driver untuk menyembunyikan keberadaannya dan mencegahnya agar tidak mudah terdeteksi. Banyak perangkat lunak keamanan seperti antivirus, Zemana Anti-Logger, KeyScrambler Premium juga menggunakan driver. Seperti yang Anda lihat, driver sangat kuat dan untungnya itu bukan sesuatu yang bisa diprogram oleh programmer mana pun.
Ada beberapa alat yang sangat kuat seperti GMER yang dapat digunakan untuk memeriksa rootkit tetapi mereka dapat sedikit membingungkan bagi pengguna komputer normal atau tidak berpengalaman. Salah satu alat yang bisa saya sarankan untuk Anda coba adalah DriverView yang dibuat Nir Sopher yang terkenal karena merilis alat yang berguna yang gratis dan portabel. Pada dasarnya DriverView adalah alat yang sangat kecil dengan ukuran hanya 33KB yang mencantumkan semua driver yang saat ini dimuat di sistem operasi Windows Anda. Ini menunjukkan banyak informasi berguna tentang driver seperti nama file, perusahaan, nama produk, deskripsi, versi, tanggal dibuat dan dimodifikasi, path, jenis file, layanan dan nama tampilan.
Baris yang disorot adalah file driver oleh Elite Keylogger dan Invisible Keylogger Stealth
Sebagian besar driver dimuat oleh Microsoft dan umumnya mereka stabil dan aman. Anda dapat dengan mudah mempersingkat daftar dengan mengklik Lihat dari menu dan pilih Sembunyikan Microsoft Drivers di mana hanya driver pihak ketiga yang akan ditampilkan. Sekarang Anda dapat menyelidiki driver non-Microsoft untuk melihat apakah Anda memiliki driver jahat yang mungkin dengan mencari nama file di Google dan mengunggahnya ke VirusTotal untuk dipindai dengan 42 antivirus berbeda. Perhatikan bahwa DriverView tidak memiliki kemampuan untuk menghapus atau menghapus driver.
Anda harus memperhatikan bahwa ada 3 driver tidak dikenal yang dump_dumpata.sys, dump_dumpfve.sys dan dump_msahci.sys yang terdaftar di DriverView pada Windows 7. Jika Anda mengklik kanan salah satu dari 3 driver dari DriverView dan pilih File Properties, Anda akan mendapatkan galat popup mengatakan “ Windows tidak dapat menemukan C: \ Windows \ System32 \ Drivers \ dump_msahci.sys. Pastikan Anda mengetik nama dengan benar, lalu coba lagi “.
3 file ini bukan rootkit atau apa pun yang berbahaya tetapi terkait dengan membuat dump memori ketika Windows 7 crash. Anda dapat dengan mudah menonaktifkan 3 dump_dumpata.sys yang tidak dikenal, driver dump_dumpfve.sys dan dump_msahci.sys agar tidak dimuat dengan masuk ke Control Panel> System> Pengaturan sistem lanjutan> klik tombol Pengaturan untuk Startup dan Pemulihan> klik pada menu drop down dari Tulis informasi debug dan pilih (tidak ada). Klik OK untuk menutup semua Windows, restart komputer Anda dan 3 driver tidak akan lagi muncul di DriverView.
Berguna seperti DriverView, setelah pengujian lebih lanjut saya menemukan bahwa DriverView hanya membaca sumber daya VERSIONINFO yang dapat ditemukan di tab Detail ketika Anda mengklik kanan pada file dan pilih Properties. Kurangnya kemampuan untuk membaca nama penandatangan untuk Digital Signature. Seseorang dapat dengan mudah mengedit properti file driver rootkit berbahaya menggunakan editor sumber daya atau crypter dan DriverView akan berpikir bahwa itu milik Microsoft dan bahkan mungkin menyembunyikannya agar tidak ditampilkan ketika opsi "Sembunyikan Driver Microsoft" diaktifkan. Namun, mendapatkan sertifikat penandatanganan kode digital tidak mudah. Tangkapan layar animasi di bawah ini adalah bukti bahwa DriverView membaca VERSIONINFO tetapi bukan tanda tangan digital. Silakan merujuk kembali ke tangkapan layar pertama untuk melihat informasi yang ditampilkan oleh DriverView untuk file RDPCDD2k.sys.
DriverView gratis, portabel dan berfungsi pada Windows 2000, Windows NT, Windows XP, Windows Vista, Windows 7, dan Windows Server 2003/2008, keduanya 32-bit dan 64-bit.
Unduh DriverView
