收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 原创工具区 Gama-Ray 1.0 Rootkit&&Bootkit检测清除工具
12下一页
返回列表 发新帖
查看: 12116|回复: 13
收起左侧

[原创工具] Gama-Ray 1.0 Rootkit&&Bootkit检测清除工具

[复制链接]
宁妖
发表于 2013-9-4 19:23:49 | 显示全部楼层 |阅读模式
Gama-Ray 1.0 是一款通用的Rootkit和Bootkit检测清除工具,主要使用技术为重载磁盘端口驱动,自建I/O通道,支持atapi/scsiport/storport/ataport四种主要类型端口驱动,并区分IRP处理函数和StartIO处理函数实现不同的IRP(SRB)请求。

1.0版本为原型版本,病毒特征积累不多,目前主要检测清除对象包括(全是bootkit和文件感染型rootkit,暂时不包括独立型rootkit):
Rootkit.Boot.Phanta.b
Rootkit.Win32.TDSS.tdl4
Rootkit.Boot.Cidox.a
Rootkit.Boot.Xpaj.a
Rootkit.Boot.Yurn.a
Rootkit.Boot.Geth.a
Rootkit.Boot.CPD.b
Rootkit.Win32.TDSS.tdl3 (测试过部分变种)
Virus. Win32.ZAccess (测试过部分变种,不包括usermode变种)

也许包括(没有样本验证,但有被感染过的MBR/VBR/IPL bin,所以有特征提取):
Rootkit.Boot.Sinowal.b
Rootkit.Boot.Wistler.a
Rootkit.Boot.Sinowal.a
Rootkit.Boot.Trup.b
Rootkit.Boot.Phanta.a
Rootkit.Boot.Phanta.c
Rootkit.Boot.Stoned.a
Rootkit.Boot.SST.a
Rootkit.Boot.SST.b
Rootkit.Boot.Pihar.a
Rootkit.Boot.Nimnul.a
Rootkit.Boot.Backboot.a
Rootkit.Boot.Pihar.b
Rootkit.Boot.Cidox.b
Trojan-Ransom.Boot.Mbro.d
Rootkit.Boot.CPD.a
Rootkit.Boot.Plite.a
Rootkit.Boot.Qvod.a
Rootkit.Boot.Smitnyl.a
Rootkit.Boot.Harbinger.a

还包括:
可疑启动扇区
可疑系统核心文件

另外,1.0版本目前只支持以下平台(基于BIOS MBR Style):
a.  XP 32 bit
b.  Windows 2003 32 bit
c.  Vista SP1/SP2 32 bit
d.  Win7 SP0/SP1 32 bit
e.  Win8 32 bit

64bit以及新的OS将在下版本中添加。

欢迎大家使用Gama-Ray 1.0,有任何好的建议或者意见请联系我,可以直接回帖或者加入交流群:
Gama-Ray ARK  287012137
如果大家有兴趣,我会在交流群里分享更多病毒查杀技术细节以及现有或未来的病毒分析报告等等。

欢迎大家加入群一起学习windows内核安全,逆向分析技术,rootkit && bookit的检测和清除,新型病毒(uefi bootkit/usermode rootkit/ransonware等等)的研究,行业交流等等。

在tool的使用过程中,任何误报或者未检测case,都欢迎大家提供检测报告/可疑文件,真诚的感谢大家!

下载:http://vdisk.weibo.com/s/aInIZbAN82-cp  

评分

参与人数 2人气 +2 收起 理由
天原 + 1 版区有你更精彩: )
小v可 + 1

查看全部评分

回复

举报

风之暇想
发表于 2013-9-4 19:30:02 | 显示全部楼层
没图?
回复

举报

宁妖
 楼主| 发表于 2013-9-4 19:46:58 | 显示全部楼层
风之暇想 发表于 2013-9-4 19:30
没图?

UI画的很简单
Untitled.jpg

谢谢
回复

举报

小v可
发表于 2013-9-4 20:27:43 | 显示全部楼层
厉害 工具很棒 提点建议 既然可以直接清除rootkit强度应该不用怀疑 能否提供一些自主手动功能 毕竟扫描不可能扫描到所有 在有未知rootkit的情况下可以帮助确认查看和清除。当然LZ想做纯扫描我也没意见
回复

举报

宁妖
 楼主| 发表于 2013-9-4 20:36:46 | 显示全部楼层
小v可 发表于 2013-9-4 20:27
厉害 工具很棒 提点建议 既然可以直接清除rootkit强度应该不用怀疑 能否提供一些自主手动功能 毕竟扫描不可 ...

谢谢你的建议 原本就准备加的 但时间比较紧 先放出来跑跑 后面会加的
再次感谢
回复

举报

benlvan
发表于 2013-9-4 22:19:44 | 显示全部楼层
你的意思是,重载atapi/scsiport/storport/ataport这几个驱动,并向他们发送SRB读写磁盘么?
回复

举报

宁妖
 楼主| 发表于 2013-9-5 09:34:43 | 显示全部楼层
benlvan 发表于 2013-9-4 22:19
你的意思是,重载atapi/scsiport/storport/ataport这几个驱动,并向他们发送SRB读写磁盘么?

是的
回复

举报

zhoufeng
发表于 2013-9-5 19:00:18 | 显示全部楼层
本帖最后由 zhoufeng 于 2013-9-5 20:35 编辑

这个工具可以清除装了易速还原这种还原下的rootkit吗

简单的说就是机子中了rootkit 然后装上了易速还原这种还原软件
你这个工具可以穿透还原删除掉这个rootkit吗 。
回复

举报

m_direction
发表于 2013-9-5 22:35:41 | 显示全部楼层
支持下,貌似会火啊
回复

举报

梦遗大师
发表于 2013-9-5 23:20:04 | 显示全部楼层
前排支持。。不明觉厉。。。
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-19 13:12 , Processed in 0.128985 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表