ESET SysInspector 独立版与集成版区别？【8-8:自更新反隐藏模块，32位版】

翼风Fly

问题在最后
18楼有自更新的版本
不喜欢下面铺垫的可直接转到问题

我比较喜欢SysInspector的筛选，要比PC Hunter、PowerTools这些ARK工具省事的多——虽然他分析的时间挺长。。。

虽然有装有EAV，集成该组件，但是到了其他电脑还是需要独立版的。

独立版链接【注意，仍然在更新；但是中国的代{过}{滤}理 二版 不更】：
http://www.eset.com/int/download/utilities/detail/family/3/


集成版（ESET 8）：


相同点是SysInspector模块都是1246，但是其他的模块，独立版的版本都要低好几年
更新模块低我就不说什么了
反隐藏模块低。。。。这样能查出隐藏内容？各种Rootkit均可查出？别告诉我用卡巴的TDSSKiller再来一边。。。。

至于帮助文档说的一点区别：

唯一的区别是管理输出的方式不同。

这个可以无视了



那么问题便是：

• 反隐藏模块较低有何影响？
• SysInspector独立版与集成版还有其他什么区别？
• 是否有其他类似于SysInspector的工具，最好能对威胁内容进行筛选（PC Hunter、PowerTools，还有已经支持Win10的Win64 AST，大家都知道，不必多说）
  

无垠穹宇

翼风Fly 发表于 2015-8-1 11:31
感谢回复

1、遇到以下问题：

独立版在exe中，安装版直接调用安装目录中的em0xx.dat
我不会修改独立版的exe，只能提取了安装版的给你

翼风Fly

无垠穹宇 发表于 2015-8-1 21:00
其实我使用排除法排除出来的
那些em0xx.dat都是eset“关于”里的模块文件，解包独立版也能看到有0 ...

Soga....
但是仍然感觉挺奇怪

沙箱运行后释放资源列表，与Resource Hacker显示资源对比：

RC数据	实际名称(有一定的猜测成分)	解释
EM000_32	em000_32.dat	16进制代码中，版本显示为1033.看来是更新模块
EM006_32	em006_32.dat	16进制代码中，版本显示为1048.看来是反隐藏模块
EM009_32	em009_32.dat	沙箱中未找到，不知如何触发。16进制代码中，版本显示为1246.看来是SysInspector模块
ESI_EULA	esi-eula.rtf	许可协议文档
ESI_HELP	SysInspector.chm	触发 帮助 后生成。默认不生成。
HOST_DRV	esihdrv.sys	匹配16进制代码后确认最终文件名，属性可知原名称为ehdrv.sys，ESET Helper driver。在ESET 8中目录位置为 \Drivers\ehdrv\中以及 %windir%\system32\drivers 中

翼风Fly

抽了一点时间搞个自制版：

32位，反隐藏更新至1080(20150717)，模块来自于EAV 8 em006_32.dat







可能作用不大，仅做记录

不知道反隐藏模块在此能起到什么作用，以及此次更新是否有效

因实机为32位且受制于数字签名，64位就不改了。。。

无垠穹宇

1. 可能会有影响，把ESET 8里面的反隐藏模块拷贝到独立版中试试看
2. 不知道
3. SREng，不过好像不更新了

bbszy

eset的反隐藏不咋地，反正之前样本区测试ZA运行后，eset无论扫描还是监控根本无法发现ZA

steven_lzs

这要等大神来回答了

翼风Fly

无垠穹宇 发表于 2015-8-1 10:57
1. 可能会有影响，把ESET 8里面的反隐藏模块拷贝到独立版中试试看
2. 不知道
3. SREng，不过好像不更新了

感谢回复

1、遇到以下问题：
①不知反隐藏模块在哪以及是哪些
②在沙箱里运行过，独立版真的是纯粹的独立版，运行时除了在temp释放chm帮助以及xml检测结果等一小部分内容外，其他资源一概没有。用7zip、eXeScope简单的看过，对于里面的内容完全不明；PEiD没检测出壳

3、以前用SREng，不过自2.8.4.1331不再更新，官网打不开。小青蛙在日志里说“不需要授权号了，再也不会过期了”，后来经 @天月来了 提醒，才知2016.1.1照样过期。。。

翼风Fly

bbszy 发表于 2015-8-1 11:12
eset的反隐藏不咋地，反正之前样本区测试ZA运行后，eset无论扫描还是监控根本无法发现ZA

反隐藏较好的有哪些。。。。卡巴？

bbszy

翼风Fly 发表于 2015-8-1 12:02
反隐藏较好的有哪些。。。。卡巴？

就拿ZA这个比较高级的rootkit来说吧，运行后依然能发现的有卡巴 诺顿 咖啡 趋势 大蜘蛛，你去翻翻样本区那个帖子吧。。。

jzh100

独立版貌似不更新了

翼风Fly

bbszy 发表于 2015-8-1 12:23
就拿ZA这个比较高级的rootkit来说吧，运行后依然能发现的有卡巴 诺顿 咖啡 趋势 大蜘蛛，你去翻翻样本区 ...

Thanks~
说的是这个吧：
http://bbs.kafan.cn/thread-1838906-1-1.html

PC Hunter也测不出。。。
这是逼我用TDSSKiller。。。

翼风Fly

jzh100 发表于 2015-8-1 12:43
独立版貌似不更新了

虽然更的慢，不过也是在更新的吧。。。

关于中的SysInspector模块也写着：20150121，和集成版的都是1246，相同