3600safe（优秀的国产anti-rootkit软件）更新到 v0.1.7 ：附使用教程/大量优化！

豆客

**************************************************************************************************


官方网站：www.3600safe.com


支持系统：windows xp/2003/win7(32bit)


下载地址：http://www.3600safe.com/3600safe0.1.2.rar




**************************************************************************************************
且看3600safe如何查杀高端Rootkit :http://www.3600safe.com/?post=81  
看3600SAFE如何解决XUETR不能查杀的rootkit

致谢（排名不分先后）：


dingking，莫为，影子，vxk，认真的雪，IThurricane，killer，sht，achillis，幻灵，强子，AlxDong，boywhp，bird/鸟总，cnhacker_root
核北/恒，CN_Tink


声明：


3600safe的设计思想是，作为一款anti-rootkit软件，3600safe的清理目标定位是rootkit，所以3600safe使用了比rootkit更流氓，更主动的方式来检查rootkit/virus，正好验证了一句话：要对付流氓，就要用比流氓更为流氓的方法，因此使用了大量内核技术。由于时间匆忙，内核方面的功能都处于beta阶段，所以在使用过程中，如果发生由本工具直接或者间接导致的问题，由使用者负责。


**************************************************************************************************


如何使用3600safe提供的“一键卸载360”功能：


众所都知，360安全卫士是一款云端控制，卸载不干净，随时都有可能窃取用户隐私的行为的流氓软件。


因为360安全卫士装机量大，低端用户多，这种可疑的“窃取用户隐私的行为”严重威胁到了互联网的安全与发展。


3600safe在这样的大前提下，提供了“一键卸载360”，却惨遭360的狙杀，恶意打击。


要使用3600safe提供的“一键卸载360”功能的时候，请用户断开网络，避免360云端控制。


断网之后，就可以使用“一键卸载360”功能了。


**************************************************************************************************


**************************************************************************************************


关于显示颜色说明：


                SSDT             ->粉红色为当前函数被挂钩
                ShadowSSDT       ->粉红色为当前函数被挂钩
                内核模块         ->粉红色为当前内核模块文件被删除/褐色为无法验证当前内核模块文件的MD5是否原生系统文件
                内核hook         ->粉红色为当前函数被挂钩
                内核线程         ->粉红色为创建线程的模块非系统原生文件
                系统线程         ->粉红色为线程所在模块处于隐藏状态，一般正常模块是不会隐藏的，所以非常可疑
                Object钩子       ->粉红色为当前函数被挂钩
                ntfs/Fsd         ->粉红色为当前函数被挂钩
                防御日志         ->粉红色为未知文件来源的启动模块或者进程
                网络连接         ->褐色为当前tcp网络是处于连接状态
                系统进程         ->粉红色为隐藏进程/褐色为无法验证当前内核模块文件的MD5是否原生系统文件
                系统服务         ->粉红色为隐藏服务/褐色为当前服务是启动状态


**************************************************************************************************


关于驱动被杀说明：


为了避免3600safe的驱动被rootkit作者逆向分析，所以用了VMProtect（VMProtect.Ultimate.V2.08）加密保护


因此3600safe启动的时候释放的驱动文件（%SystemRoot%\3600safe.sys）可能被查杀，那是因为杀软杀的是VMProtect的附加代码


**************************************************************************************************
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-07 3600safe v0.1.7：


"3600safe v0.1.7"  版本MD5：63ea8c92bc5f090364aa74164b411e85


修复：
  
    1：修复获取系统服务描述出现乱码的bug （严重感谢 灰色羽翼 Hillwah的测试）
    2：修复扫描系统服务有可能蓝屏的bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-06 3600safe v0.1.6：


"3600safe v0.1.6"  版本MD5：ac5997642213a6bea277a57f4a45e85f


新增：
   
    1：优化了启动界面 （严重感谢 豹纹咪 的PS）


修复：
  
    1：修复扫描进程的时候一个可能造成蓝屏的bug （严重感谢 浪子燕青，Hillwah的测试）
    2：修复部分机器下获取进程路径显示不正常的bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-06 3600safe v0.1.5：


"3600safe v0.1.5"  版本MD5：d7cb09227fbbb2bd2283e4e5a78d169b




修复：
  
    1：修复扫描进程的一个可能造成蓝屏bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-04 3600safe v0.1.4：


"3600safe v0.1.4"  版本MD5：ec674b48c72d1906eef527a0b19a44bc


新增：
   
    1：增加了防御日志 ==> 系统服务创建或修改防御


修复：
  
    1：修复网络连接的一个bug
    2：去掉了保护文件的object hook
    3：简单处理了一下object hook的二级跳扫描


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-02 3600safe v0.1.3：
"3600safe v0.1.3"  版本MD5：e2eff9d47ae4361e3041aad4365d0eb7

修复：
  
    1：修复内核HOOK扫描的一个bug

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>




>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-02 3600safe v0.1.2：


"3600safe v0.1.2"  版本MD5：a59d0434c33e1f4d0194c77cb56c6bd7




修复：
  
    1：优化隐藏进程扫描代码
    2：优化修复导入表代码
    3：修复枚举shadowSSDT的一个bug
    4：修复若干界面逻辑
    5：修复若干3600safe自身进程保护逻辑（默认不保护3600safe进程，只有注册开机启动或者用户点击保护的时候，才保护3600safe进程）
    6：简单处理了一下内核HOOK扫描的二级扫描


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-02-24 3600safe v0.1.1：


"3600safe v0.1.1"  版本MD5：c53c6567428b4c06720db6deb11f9754


新增：


    启动界面


修复：
  
    1：修复“深度服务扫描”时一个不人性化的清理方式（此bug导致啊虫重装系统，在此严重感谢 啊虫 的测试 T.T）
    2：修复在修复重定位表时的一个bug


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>


2012-02-20 3600safe v0.1：


"3600safe v0.1"  版本MD5：62797000b113e08f3d165bc7e0b6c577


新增：


    内核Hook
         增加了Eat Hook的枚举和摘除


    内核线程
         扫面内核线程
         清空线程日志

    系统线程
         枚举系统线程
         结束所选线程


其他：
     增加了对%SystemRoot%\system32\wbem目录下的文件验证支持
     释放的驱动改名为3600safe.sys方便辨认


修复：


    1：修复枚举系统进程时遗漏进程的bug
    2：修复枚举DLL模块的bug
    3：优化内核安全模式的代码
    4：优化扫描隐藏进程的一个bug
    5：优化内核Hook扫描，扫描速度有突破性增加
    6：优化应用模块与内核模块通信的代码


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-02-16 3600safe v0.1beta11：


"3600safe v0.1beta11"  版本MD5：a1283273dafc30f2e18e69a31ee72fe6 || 8404196cc8a22e0e8243d429be56defe


修复：
   
    1：修复自我保护代码的一个bug（严重感谢 乱码 的测试）


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-02-16 3600safe v0.1beta10：


"3600safe v0.1beta10"  版本MD5：aed6acb52adf6e2fdb10a3cdd311b181


新增：


    防御日志
         导出防御日志

    Tcpip
         查看tcpip.sys函数
         脱钩所选函数
         复制tcpip.sys函数到剪贴板


    Nsiproxy
         查看Nsiproxy.sys函数
         脱钩所选函数
         复制Nsiproxy.sys函数到剪贴板


其他：


    最小化到系统托盘
    增加了对win7 home/旗舰版sp1 的系统原生文件验证
    木马启动防御




修复：


    1：修复“一键卸载360”功能时重载ntfs的bug
    2：修复win7 sp1 旗舰版退出时蓝屏bug
    3：优化内核模块若干代码逻辑
    4：优化查看网络连接代码
    5：修复了win7旗舰版sp1下无法查看tcp端口的bug
    6：优化自我保护代码逻辑
    7：重写了防御日志模块的内核代码




>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-02-10 3600safe v0.1beta9 2012情人节专版：


"3600safe v0.1beta9"  版本MD5：244bfa407f7a4a86a1800e0b6571c294


新增：
   
    过滤驱动
           查看过滤驱动
           摘除所选设备
   
    ntfs/FSD
           增加了对win2003的支持
   
    系统进程
           枚举进程DLL模块的时候，显示DLL是否由svchost系统服务启动


修复：
    1：修复枚举ShadowSSDT的时候申请内存失败问题（感谢 bird/鸟总 帮忙测试）
    2：优化了应用模块和内核模块申请内存的效率
    3：修复了win7下若干可能会产生蓝屏的bug     （感谢 bird/鸟总 帮忙测试）
    4：去掉了应用模块的VMP壳（应用模块就不加VMP了，避免各大杀软查杀）
    5：优化了win2003下暴力删除文件功能
    6：整理了一下界面，貌似比之前好看了一点点


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-02-07 3600safe v0.1beta8：


"3600safe v0.1beta8"  版本MD5：25dd351a5d663468179e07f27aecce85




修复：
    1：修复若干win7下导致系统蓝屏的bug，感谢AlxDong、强子等提供dump文件


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-02-02 3600safe v0.1beta7：


"3600safe v0.1beta7"  版本MD5：dde4e5ba168a5596bf45877a1520bac9


新增：
   
    ntfs/fsd(仅会在xp/win7下出现)
            查看ntfs/Fsd函数
            脱钩所选函数
            复制ntfs/Fsd函数到剪贴板


    防御日志
            清空防御日志
            重启后“查看防御日志”


修复：
    1：修复重载ntfs.sys原始地址查找的bug
    2：改善了“暴力删除文件”功能（可删除一切基于ntos*/ntfs.sys上做hook来保护的顽固文件）
    3：修复“防御日志”的一个逻辑bug
    4：修复了内核模块一些潜在的逻辑bug


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-01-31 3600safe v0.1beta6：


"3600safe v0.1beta6"  版本MD5：f3e8ec7f43cd171a575663f2eb99d5e5




修复：
    1：修复界面的一些逻辑小bug，不表


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-01-30 3600safe v0.1beta5：


"3600safe v0.1beta5"  版本MD5：8d2397135c6cab12e7f92a70bb86b7ad


新增：
   
    1：一键卸载360
    2：360进程保镖


修复：
    1：修复一些小bug，不表


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-01-30 3600safe v0.1beta4：


"3600safe v0.1beta4"  版本MD5：bc45b0a8578d0c563c210678bf246697


修复：
    1：修复与360兼容问题


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-01-29 3600safe v0.1beta3：


"3600safe v0.1beta3"  版本MD5：d90a5819c65c74eda8973dbbda4bf9ec


新增：
    ShadowSSDT
          查看挂钩函数
          查看所有函数
          脱钩所选函数
          脱钩所有ShadowSSDT-HOOK
          复制ShadowSSDT函数到剪贴板


    Object钩子
          扫描ObjectHook
   
    防御日志
          远程木马执行命令防御


内核安全模式：SSDT + ShadowSSDT 重载


修复：
    1：修复禁止创建进程之后，无法扫描内核Hook的问题
    2：修复防御日志的一个蓝屏bug
    3：修复网络连接system进程名显示不全的bug  
    4：修复内核Hook扫描的bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-01-18 SafeSystem v0.1beta2：


"SafeSystem v0.1beta2"  版本MD5：d354bf9b5c3f253adfb66c4374c4bd2e


新增：
    暴力删除文件
    禁止加载驱动
    禁止创建进程
    禁止创建文件
    强制环保重启


修复：
       1：内核模块路径显示不正确问题
       2：内核hook扫描误报问题


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-01-13 SafeSystem v0.1beta1：


"SafeSystem v0.1beta1"  版本MD5：e38b997ac64d3617955392cac645bf56


新增：


内核模块
        dump所选模块内存到文件


系统进程
        验证所选DLL模块是否由svchost启动


修复：
       1：hook地址计算问题
       2：取csrss.exe进程pid通用问题
       3：修复反复hook NtReadFile引发蓝屏问题
       4：修复了内核Hook扫描几率误报的问题


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-01-09 SafeSystem v0.1beta：


"SafeSystem v0.1beta"  版本MD5：c19076bda5e0379a3f510fb813ae56cd


SSDT
    查看挂钩函数
    查看所有函数
    脱钩所选函数
    脱钩所有SSDT-HOOK


内核模块
    刷新内核模块
    刷新内核模块（只看非认证的模块）


内核Hook
    扫描内核hook（仅导出函数）
    脱钩所选函数
    绕过所选函数的hook


防御日志
    查看防御日志


网络连接
    刷新网络连接
    终止所选进程


系统进程
    刷新进程列表
    查看进程模块
    终止所选进程
    终止所选进程并删除文件
    云端验证是否系统原生文件
    卸载所选DLL模块
    卸载所选DLL模块并删除文件


系统服务
    常规扫描
    深度扫描
    启动
    停止
    手动
    自动
    禁用
    删除

星空下的吻

名字太山寨了吧...

豆客

星空下的吻 发表于 2012-1-29 14:28
名字太山寨了吧...

某黑阔作品，原名不是这个。。。

银砾石

vbox blue

zeroten

这名字就让人没用的欲望。。。

wwdboy

为什么要山寨数字呢，自己起个更响亮的名字不是更好

cvn72lincoln

我想了个名字，叫 “ARK-3600”，觉得怎么样？

哀酱俏佳人

看到名字没兴趣



还是用powertools

kxmp

我64位系统的...

jxae

使用者不想负责，所以不用