“天琊 V1.0(測試版)”是一款集進程管理,文件管理,註冊表管理,SSDT服務表管理,SHADOW服務表管理,內核模塊察看,Inline Hook掃描,日誌導出,保險箱,主動防禦(主要針對保險箱功能)於一身的強大的安全反病毒輔助工具。
進程管理:
提供了豐富的進程相關信息。分別有“狀態”(主要是標誌是否是隱藏進程和保護的進程,保護的進程主要是針對於保險箱功能的),“映像名”(進程名),“PID”(進程ID,正常情況下此ID是唯一的,是進程的標識符),“父PID”(指創建此進程的進程ID,這方便察看進程的家族,也可以幫助分析病毒所屬文件等),“用戶名”(進程所屬用戶,比如System,這個現非常有用,現在很多病毒都會僞裝成系統文件一樣的進程名導致系統自帶的進程管理器誤認爲他們是系統進程,就算是用戶發現了也無法終止其運行,但是此類病毒一般都有個特點就是進程用戶名不是System,當然也有病毒能把用戶名也隱藏了,這樣我們可以繼續從進程路徑上進行判斷),“EPROCESS”(此項對於一般用戶沒什麼用,對於一些搞內核研究的人有點用因爲它是指向進程的內核對象可以用一些調試工具察看出豐富的進程信息),“進程路徑”(進程對應的文件路徑,此項可以排查一些僞裝系統進程的程序,也他們能僞裝進程名卻很難僞裝系統進程的文件路徑)。
強大的反進程隱藏功能,分別提供三種級別的進程隱藏檢測方式。“枚舉進程方式1”是用常規的枚舉SessionProcessLinks鏈表實現,用此方式枚舉出來的進程有這樣一個優點---枚舉出來的進程是按啓動順序排列的,最後啓動的進程永遠在最後一個,這樣可以很容易的察看一些可以進程。“枚舉進程方式2”是以枚舉系統句柄表方式來枚舉進程的。此法可以枚舉出脫鏈的隱藏進程方式的程序。“枚舉進程方式3”是一種綜合方式可以枚舉出目前大部分的隱藏進程(目前還沒發現枚舉不出來的隱藏進程).
強大的殺進程功能。本程序提供的殺進程方式主要提供4種方式,分別是:“終止進程”(常規的以NtTerminateProcess方式),“強制終止”(以投遞APC方式殺進程,使用此方式查殺進程的時候需要注意一下,此方式查殺強度非常高,在目前測試中沒有殺不了的進程,但是有時在查殺一些頑固的進程的時候會顯示會隱藏,這樣大家不要大驚小怪,其實目標進程已經被終止了,請不要再次使用此方式終止,這樣很有可能造成系統藍屏事件),“特徵碼終止”(此方式是結合了第一種方式再加上特徵碼驗證,使用此方式結束了的進程將無法再次啓動,如果無意中結束錯了,可以在“高級操作”裏選擇特徵碼管理,在裏面把其刪除即可,此方式的設計主要是針對一些多進程相互守護的病毒程序,如果用戶不能直接判斷出病毒文件或者總是終止後又起來就可以選擇此方式),“特徵碼強制終止”(此方式是結合“強制終止”方式和特徵碼驗證,效果和第三種方式一樣,只是強度高了很多,注意此方式結束的進程也不能使用再次結束)
高級操作。除了上面說的兩種特徵碼方式結束進程爲還提供以下功能:“強制刪除文件”(此功能可以強制刪除進程對應的文件,此功能請慎重使用,因爲此功能可以把正在運行中的進程對應的文件刪除,一旦把系統的重要文件強制刪除了就OVER了),“掃描進程鉤子”(目前版本還沒加入此功能,下個版本提供),“進程內存清零”(此功能主要是爲了對付一些變態的進程保護強度已經不能用強制終止進程方式結束的進程,目前還沒發現這樣的程序。那麼我們就可以使用此方式把邪惡的進程內存清零),“添加保護進程”(此功能是爲“保險箱”功能設計,我下面再做詳細說明),“從文件中添加保護進程”(此功能是爲“保險箱”功能設計,我下面再做詳細說明),“添加阻止進程”(此功能設計是爲了對付一些殺了又起的程序和特徵碼方式終止是一回事,區別在於是在使用的時候沒把進程結束,方便繼續分析此進程),“從文件中添加阻止進程”(此功能設計可以把一些病毒或者你討厭的程序添加進此列表中那麼就算你無意中運行起了此程序,那麼我的程序也會阻止其運行),“特徵碼管理”(主要是對保護進程和阻止進程一些在主動防禦上永遠拒絕的對象的管理,你可以刪除其中任何一項)。“高級操作”裏的功能主要是爲。反病毒設計的,所以在使用的時候請慎重。
線程相關。本程序提供了兩種枚舉線程的方式。“枚舉線程方式1”此方式是以線程鏈表方式枚舉線程的。“枚舉線程方式2”是一個綜合的枚舉方式,可以對付大部分對線程隱藏的程序(目前還沒發現檢測不出來的)。
線程信息,包括有:“線程類型”主要用來區別系統線程和一般線程,此項是用於標識一些惡意程序更改了SystemThread標誌來保護進程的程序。“TID”線程的ID,是線程的標識符。“ETHREAD”對一般用戶沒用,對於內核研究人員可以方便用此值用一些調試軟件察看出豐富的線程信息。“Teb”對於一般用戶也沒用。“Priority” 線程優先級別。“起始地址”線程執行第一條指令的地址,主要是用來取線程所在模塊的。“所在模塊”線程所在的模塊。
線程的終止。線程的終止也提供了兩種方式,一種是常規的NtTerminateThread方式,另一種是高強度的APC方式。
模塊相關。目前模塊只提供了瀏覽功能。卸載功能將在下個版本中提供。分別以兩種方式來瀏覽模塊,“枚舉模塊方式1”是通過PEB的方式來枚舉進程模塊,此方法的優點是枚舉出來的模塊是按先後加載順序排列起來的,最後加載的永遠在最後,這樣也方便察看了哪些模塊可疑了。“枚舉模塊方式2”是在驅動層下用NtQueryVirtualMemory方式枚舉的,此方式效果非常好,一般隱
功能下個版本提供。
模塊查詢。此功能可以在整個系統的所有進程中對關鍵字的模塊進行查詢,速度非常快。
文件管理:
文件管理提供了,隱藏文件(API HOOK方式隱藏的文件)的察看,文件強制刪除,破壞文件,解鎖文件,複製文件(可以複製特殊文件,比如SAM等註冊數據庫文件)。
“普通刪除”,此功能和“DeleteFile”一樣。
“強制刪除”,此功能提供了高強度文件的刪除功能,可以刪除正在運行中的進程對應文件,和一些使用中的文件。
“解鎖文件”,此功能可以解除一些惡意或者病毒程序爲了達到不讓別人刪除其文件,把自身文件以獨佔方式打開,這樣其他進程就無法訪問其文件,此項功能正好可以解除此類方式鎖定的文件。
“破壞文件”,此功能可以把一些正常的文件進程破壞,其實應該說是重新填0,此功能清慎重使用,因爲此功能可以把一個正在運行中的程序文件破壞。
“複製到...”,此功能可以把一個文件或者多個文件複製到一個新目錄下。此功能可以過一些進行API進行文件防複製的程序,還可以複製SAM等註冊表文件。
“解鎖並強制刪除”,此功能結合瞭解鎖和強制刪除功能爲一體,這樣就算程序正在運行並且鎖定了也一樣可以把其刪除。
SSDT服務表管理:
SSDT服務表管理提供了對SSDT服務表的信息察看和修改,可以察看到什麼驅動文件對某些函數進行了掛接,並可以進行恢復。程序提供了兩種瀏覽方式:“顯示所有服務函數”此功能會把服務表所有函數信息顯示出來,包括已經被掛接了的,如果你覺得此方式不能直觀的察看被掛接的函數可以使用“顯示HOOK服務函數”,此功能會把所有已經被掛接的函數列出來。“恢復選定服務函數”,此功能可以輕鬆恢復你選擇的函數。
SHADOW服務表管理:
SHADOW服務表管理提供了對SHADOW服務表的信息察看和修改,可以察看到什麼驅動文件對某些函數進行了掛接,並可以進行恢復。程序提供了兩種瀏覽方式:“顯示所有服務函數”此功能會把服務表所有函數信息顯示出來,包括已經被掛接了的,如果你覺得此方式不能直觀的察看被掛接的函數可以使用“顯示HOOK服務函數”,此功能會把所有已經被掛接的函數列出來。“恢復選定服務函數”,此功能可以輕鬆恢復你選擇的函數。
內核模塊察看:
可以察看所有內核模塊。
Inline Hook掃描:
此版本只針對Ntosxxxx/ntkxxxx進程掃描,下個版本再添加其他文件的掃描.此功能可以察看在Ntosxxxx/ntkxxxx上掛接的Inline Hook,並且可以對其恢復。
日誌導出:
主要是針對主動防禦的日誌進行導出備份。
保險箱:
此功能,可以防止一些木馬和盜好程序。程序從窗體,和進程內存以及防止遠程注入等手段來達到“保險箱”的功能。
使用方法。要使用此功能可以以兩種方式加載需要保護的程序。第一種從進程功能裏選擇“高級操作”再在裏面選擇“添加保護進程”即可。也可以選擇“從文件中添加保護進程”,這種方法更靈活,一但被添加的文件在任何時候任何地方以任何文件名,只要我的程序處於啓動狀態就可以保護被啓動的文件,不受文件路徑和文件名等限制只以特徵碼方式判斷。而且只要具備此特徵碼的程序只要一啓動都會被保護起來,比如說我們添加了IE程序那麼無論你啓動多少個IE都會被保護起來(注意這裏最好不要保護EXPLORER進程因爲你一但保護其他進程就看不到他的窗體信息了)。一但被保護的的進程的窗體信息將會被保護起來,其他進程無法訪問它的窗體信息和窗體句柄。這樣可以防止一些盜好程序通過鍵盤鉤子特徵定位到程序來進行鍵盤攔截紀錄。內存信息也無法被其他進程訪問,也無法注入其進程。如果你的程序有什麼附加程序需要訪問它的內存和窗體信息你當程序彈出詢問框的時候你可以“允許”,“信任一次”,“永遠信任”等操作。“允許”只是通過當次觸發,“信任一次”可以在我的程序退出前都通過,“永遠信任”將會把信任的程序也加爲保護進程中並且可以永遠訪問受保護的進程。
主動防禦:
此功能主要是針對保險箱設計的。主要是針對窗體信息的攔截,內存讀寫,內核空間讀寫,以及常見後門程序的攔截(比如灰鴿子程序).
程序下載地址是: http://p.blog.csdn.net/images/p_blog_csdn_net/chenhui530/EntryImages/20080907/帶主動(保險箱)1.jpg
http://p.blog.csdn.net/images/p_blog_csdn_net/chenhui530/EntryImages/20080908/天琊1.0(測試修正二版).jpg
http://p.blog.csdn.net/images/p_blog_csdn_net/chenhui530/EntryImages/20081008/天琊1.0(測試修正三版).jpg
http://p.blog.csdn.net/images/p_blog_csdn_net/chenhui530/EntryImages/20081011/天琊1.0(測試修正四版).jpg
http://p.blog.csdn.net/images/p_blog_csdn_net/chenhui530/EntryImages/20081102/天琊1.0(測試修正五版).jpg
http://p.blog.csdn.net/images/p_blog_csdn_net/chenhui530/EntryImages/20081110/天琊V1.0修正七版.jpg
http://p.blog.csdn.net/images/p_blog_csdn_net/chenhui530/EntryImages/20081111/天琊V1.0修正八版.jpg
http://p.blog.csdn.net/images/p_blog_csdn_net/chenhui530/EntryImages/20081112/天琊V1.0修正九版633621302484132500.jpg
http://p.blog.csdn.net/images/p_blog_csdn_net/chenhui530/EntryImages/20081125/天琊V1.0 1125.jpg
2008-09-08更新如下(修正二版):
更新不能重命名的BUG,通過更新了文件管理中的一些小BUG,更新了註冊表編輯器的一個小BUG。
2008-10-07更新如下(修正三版):
更新了有時在非法關機後再啓動軟件藍屏情況
2008-10-11更新如下(修正四版):
更新了有時無法彈出主動防禦選擇框導致目標程序鎖死的情況
2008-11-02更新如下(修正五版):
修正了一些驅動裏不穩定的情況,修正了不能強制刪除文件夾的情況,增加了直接破壞進程文件功能
2008-11-08更新如下(修正六版):
由於界面程序不更新原因,現在把主動防禦和常見ARK功能分離。而主動防禦默認情況下是不開啓的(開啓後就會使用到mt32.dll造成程序非常不穩定).如果想開啓主動防禦(保險箱)功能可以在“打開”菜單裏選擇即可。
修改了在察看“進程句柄”的時候會藍屏的情況(在2K下還是會出現,一般是在察看系統進程,XP後已經解決),修正了使用“枚舉模塊方式2”造成的藍屏情況,修改了和某些安全軟件或者衝突造成的藍屏無法啓動系統的情況。修正了“ScanLib”在恢復一些鉤子時造成藍屏情況(主要是把兩條連在一起的指令看成兩條單獨指令分別恢復了比如0x68 xxxxxxxxx c3).調整了驅動保護模塊部分功能和穩定性。增加了“FSD”察看恢復功能等更新。
如果和狙劍一起使用的話,在退出程序時先退出狙劍再退出我的程序不然會有衝突,狙劍版本是 0429
所以修正六版在不開啓主動防禦的時候,還是非常穩定的.
2008-11-09更新如下(修正七版):
修正了程序和金山清理專家的衝突,解決了在某些機器上程序退出時藍屏的情況
2008-11-11更新如下(修正八版):
修正了在使用“特徵碼終止”無效的情況,修正了使用“特徵強制終止”沒有驗證特徵的情況。
增加日誌提醒功能,當在開啓主動防禦或者有日值的情況時程序標題會自動改成 "標題+<有日值>"字樣,增加"超級強殺","特徵超級強殺","超級強殺線程"等功能,超級強殺系列無視任何API鉤子。
2008-11-12 更新如下(修正九版):
修正了一reginfo.sys,已經調整了些快捷菜單顯示方式.
增加模塊“卸載”功能(被遺忘了不好意思哦),“超級卸載”功能(建議使用此方式卸載,因爲此方式卸載不會觸發其他安全軟件的提示,比較強悍哦),“強制卸載”功能(在使用此功能的時候需要注意,一擔卸載模塊還顯示在,那是因爲還沒有處理鏈表,所以大家不要再次卸載不然程序會被掛住),增加內存DUMP功能。可以DUMP內存中的PE文件,如果內存中有多個PE文件則都可以一一DUMP出來。增加模塊輸入表瀏覽功能,增加函數直接返回功能(此功能可以使一個API函數直接返回,也就是實效)
目前還存在發現的BUG:
由於mt32.dll導致的有些熱鍵失效,目前發現win+e鍵。
由於mt32.dll導致的不能在我的程序上切換輸入法。
由於mt32.dll導致的在啓動時可能導致運行出錯。