U盘安全小助手

zjjmj2002

U盘安全小助手使用说明：
1、无需安装，直接运行MiniSoft即可。
2、在电脑插入U盘之前运行本程序，可以拦截U盘上的病毒进程。
3、可与其它杀软共存并不影响杀毒软件的功能。
BugReport are welcome
Mailto：zjjmj2002@163.com
MiniSafe v1.22 beta
新增功能：禁止创建autorun.inf文件
由于把进程藏起来杀软容易报警，就不躲藏了，呵呵。
Hook了NtOpenProcess主要是为了防止被用户误结束进程，因为结束进程后恐怕会死机。
防远程线程。
防内存清零结束进程。
MiniSafe v1.21 beta
变动不大，添加了一个托盘。
病毒库可以自行添加了，因为俺的赛扬633没法运行虚拟机:(。
MiniSafe v1.2 beta
2007年11月16日
U盘未插入状态下所创建的进程就不警告了，免得让人心烦。
新增一个病毒扫描功能和一个病毒库，就是xyzreg的hive注册表那个程序，
因为俺相信xyzreg老牛写的东东应该没有什么破坏代码吧，做起试验来比较安全，目前基本上能够应付一些普通壳。
可惜俺没得啥子病毒样本，而且俺又很懒，以后俺有空的话会慢慢升级俺的病毒扫描函数，陆续添加病毒库的。
5、用户可自行扩充电脑病毒库，方法为：用16进制编辑器打开Virus.Dat文件，第一行16个字节为病毒特征码。
第二行第一个双字为病毒特征码偏移位置，第二个双字为1，后面两个双字保留。
MiniSafe v1.1 beta
2007年11月16日
新增对利用ZwSetSytemInformation等已公开的进入Ring0的办法的拦截。
MiniSafe v1.0 beta
2007年11月15日
纯属无聊之作，呵呵。
HOOK了ZwLoadDriver,ZwOpenSection,ZwCreateProcess等函数来
拦截驱动加载，物理内存对象和创建进程，特别对U盘插入后运行的进程加以警告。
SDK+DDK编写，文件很小，对资源的消耗貌似比较少。
zjjmj2002是一名小公务员，他利用业余时间编写了这个软件，有什么Bug请见谅。
俺本来以为编写HOOK SSDT这种东东应该比较简单，结果还花了俺好几天时间哩，
这次没有用汇编了哈，用的C了，呵呵。
扫描原理十分简单，优点和缺点都十分明显，俺担心别人早就在用了，一直都没写出来。
首先，让我们来想一想普通加壳的一些弱点。
1、它必须把程序在内存中解密后运行，当然虚拟技术等狠角色除外。
2、要修改运行的程序指令难度很大，不容易自动实现。
3、由于函数之间有大量的相对CALL，相对JMP等指令，函数位置变动起来难度很大，不容易自动实现。
这样，我们可以HOOK 远程注入、注册表操作、文件读写等病毒特定操作，再扫描运行模块中的特征码，达到发现病毒的目的。
优点：
1、能够应付一些普通的壳。
2、增加了手工做免杀的难度，程序不运行就不报警。
缺点：
1、给了病毒一个运行的机会！（某黑客：啥子，敢给运行的机会，不想活了哇？）
2、标准不易掌握，订低了的话会让病毒PASS，订高了的话会很占系统资源。

总的来说，如果能够再与其它反病毒方法相结合，这个办法应该是可行的。
MinSafe.rar (24.64 KB, 下载次数: 314)

2007-11-24 20:35 上传

点击文件名下载附件