程序簡介:
本程序是一個ring3級的病毒診斷程序,利用了ring3下的API HOOK技術監視了特定程序和其所有子進程的文件,註冊表,進程,線程,內存的全面操作,並記錄在日誌文件中(日誌文件名叫“myText.txt”在和程序同一目錄中)。通過此程序可以幫助一些專業人士分析病毒的行爲,進而做出一些防範措施。程序從前天開始開發昨天初步完成,今天完成了簡單的測試。從測試中發現了一些問題需要解決和優化。一。感覺無用信息過多,需要一定的排除過濾。二。沒有對網絡相關的API進行攔截。三。沒有監視驅動的加載。四。由於是ring3下的程序無法監視ring0下的操作。
使用方法:
使用方法很簡單。可以簡單的通過批處理來完成。比如下面批處理:
文件名:病毒診斷.bat
::後面跟需要監視的程序即可,如果路徑中帶有空格請加""號。
VirusMonitor.exe c:/windows/system32/taskmgr.exe
pause
後期程序發展:
1,目前版本最多隻能算是一個測試程序,我肯定會完善它。比如對網絡方面的監控以及驅動加載監控等。還有對日誌的過濾,以及寫一個界面操作來讓使用者智能的過濾等等。
2,如果ring3下的穩定了下一步就是全面進行ring0下的程序開發。
需要測試文件的或者你在使用中有更好的建議可以用以下方式聯繫我:
1,QQ:285305530 回答:陳輝(chenhui),請寫好說明:“病毒分析”
2,EMAIL:[email protected]
如果是其他相關討論的請另做說明,謝謝!