【2014-06-16】AntiSpy2.2 (支持win8，修正若干bug)

hu3167343

benlvan 发表于 2013-3-7 17:31
我记得直接调用Zw函数是能绕过权限检查的。
你试试，设置一个键（KEY）的权限为“拒绝”（如图所示）， ...

试了下，AntiSpy也是可以删掉带权限的键值的。
跟freesoft00确认了下，他说的是修改键值内容，binary类型的键值编辑功能还没加，所以点击没反应。

暗夜死灵

hu3167343 发表于 2013-3-6 20:11
update.

新增进程树展示模式。

1.2版我点击内核钩子时会蓝屏，因为在网吧，网维无盘无法上传蓝屏信息，记得是0x0a。
重启后多次测试，发现这情况时有时无的。
不知是内存问题还是软件BUG，点了驱动模块后再点内核钩子机会率大些。

建议加多选框，不想按着键盘来多选。
查看模块，线程什么的，我建议在下方窗显示比较好。
树进程展示下，父进程ID那里隐藏掉吧。看你喜欢吧
如果能有CPU，用户名那些更好吧。
进程模块那里加一个注入模块和卸载并删除模块。

hu3167343

暗夜死灵 发表于 2013-3-8 13:47
1.2版我点击内核钩子时会蓝屏，因为在网吧，网维无盘无法上传蓝屏信息，记得是0x0a。
重启后多次测试，发 ...

多谢兄弟反馈，去网吧还帮忙测试，真是很不容易啊。代码我会review下的。
下面的建议不错，后期版本改进。

freesoft00

看看路径，xt检查到了而antispy是未知模块


服务显示中xt的描述是中文的，而antispy是英文的，还有映象路径antispy里面没有



运行过ComboFix.exe这个集合脚本杀毒程序，运行一半我就强行关闭了，然后用两个软件查看，xt有有几个服务，而antispy中没有相关显示

benlvan

freesoft00 发表于 2013-3-9 09:02
看看路径，xt检查到了而antispy是未知模块

呵呵，hu3167343还需努力啊。

sayhi1984

hu3167343 发表于 2013-3-7 15:44
1.2版本各个标签的展示速度都有优化，你可以试试。

更新真快，哈哈！

hu3167343

freesoft00 发表于 2013-3-9 09:02
看看路径，xt检查到了而antispy是未知模块

1.是钩子跳转问题，下版本改进。
2.XT显示的描述是管理器自带的，一大片的文字很少去看，我的描述是仿MD的，简洁明了。
3.映像路径这一块，我是直接列出了提供服务的文件，也是参考MD的，挺人性化。
4.隐藏服务这一点确实需要加强。

多谢兄弟反馈。

hu3167343

Update.

1.3版本（2013-03-18）
                新增：
                1.对REG_BINARG等类型的注册表键值增加编辑操作
               
                2.增加对注册表键值的重命名功能
                3.启动项列表增加“隐藏微软模块”功能
                4.启动项列表增加“验证所有数字签名”功能
                5.进程模块对话框增加“卸载并删除模块文件”功能
                6.进程列表增加了个简易版的“注入模块”功能

                修改：
                1.增强SSDT HOOK的检测能力(感谢freesoft00的反馈)

                2.修正注册表默认键值的数据修改异常问题
                3.优化注册表标签的打开速度
                4.修正在进程树模式下可能显示进程不完全的bug
                5.修正英文版的几处翻译问题
                6.优化若干UI显示细节

这个版本主要是对freesoft00，暗夜死灵等朋友的反馈做了改进。

wadee

楼主考虑编个64位的不

hu3167343

wadee 发表于 2013-3-18 20:30
楼主考虑编个64位的不

恩，正在开发中，到时还请关注哦，嘿嘿。