GMER的小小试用

asinasina

GMER是一款来自波兰的多功能安全监控分析应用软件.它能查看隐藏的进程 服务，驱动，还能检查rootkikt,启动项目，并具有内置CMD 和注册表编辑器，GMER具有强大监控能，能很好的保护你的系统安装！GMER还具备自己系统安全模式，清理顽固木马病毒很得心应手！__________来自官方的解释
   华军汉化安装版http://www.onlinedown.net/soft/61732.htm
   官方网站 http://www.gmer.net/index.php
   适用：Windows NT/W2K/XP/VISTA
  

GMER能查看
隐藏的进程
隐藏的服务
隐藏的
隐藏的注册表键
隐藏的驱动程序
SSDT(System Service Descriptor Table) 钩子驱动程序
IDT (Interrupt Descriptor Table) 钩子驱动程序
IRP (IO Request Packet) 调用驱动程序   

GMER也可以监控以下系统活动：
创建进程
加载的驱动
加载的函数库
文件创建
注册表键值
TCP/IP连接
第一次运行

点击》》》后

进程，模块，服务，文件，注册表等这些和其他许多辅助软件都类似，下载自己看吧
发现汉化版的Rootkit/malware有点问题..
说下特色地方吧～

CMD选项

点击安全模式后就会重启进入GMER的安全模式。加载三个最基本的系统进程和gmer程序。（这里没截图啦，没在虚拟机中写）
在这你可以利用GMER对系统进行修复和手动杀毒。检查异常启动项，修复劫持都可以进行..不多说了
这里要提下的是modules(查看加载模块)，services(查看加载服务)，rootkit(查看后门程序)中的可疑项目会被标注为红色
（此图来自GMER的官网）

在线杀毒
在设置这个选项中在这你可以根据自己的需要勾选
在最下部有在线杀毒这个设置

GMER提供卡巴斯基和ArcaVir 两种在线杀毒可供选择
勾选
（图来自官网）
允许安装
（图来自官网）
安装成功后 在进程模块（Processes tab）点击终止全部进程(Kill all) . 可以给扫描器提供一个干净的环境
（图来自官网）
点击杀毒扫描程序（AV Scanner） 开始扫描
（图来自官网）
ok，结束～如果各位有更多的体会欢迎交流


[ 本帖最后由 asinasina 于 2008-10-14 19:38 编辑 ]

asinasina

自己沙发～支持水木版主～

angel13th

唉，又是一个半年没更新过的东西，难道08年ARK软件真的都那么沉寂吗

asinasina

2008.01.18

Version 1.0.14.14116 released.

2008.01.02

Stealth MBR rootkt found in the wild !

You can read about it here: [1], [2]

2007.06.26

Version 1.0.13.12540 released.


2007.03.14

Just another DDoS story - One Person's Perspective by Paul Laudanski

"... Around the middle of February 2007, CastleCops itself became the target of a large scale DDoS. Not new to this kind of attack, it is the first time CastleCops experienced such a large throughput at nearly 1Gbit/s ..."

2007.03.09

Andy Manchesta added catchme into SDFix tool.

2007.02.26

Thanks to Marco Giuliani for preparing Italian version of help !

http://www.pcalsicuro.com/main/2007/02/guida-a-gmer/

2007.02.21

New version of catchme with Windows Vista support released.

Catchme has been integrated with combofix developed by sUBs. Keep up the good fight sUBs !.

2007.01.20

After over a month of fight my web page is up and running.

Thank you Paul Vixie and ISC, Matt Jonkman, guys from register.com, MR Team and everyone who helped me.

Special thanks to Paul Laudanski who won this battle.

You can read about it here: [1], [2]

2006.12.13

My doman DDoS-ed first time.

2006.12.06

I developed sample rootkit "test.sys" which hides its file from all public rootkit detectors:
# BlackLight
# Sophos ARK
# RootkitRevealer
# IceSword
# DarkSpy
# SVV
# ...
# GMER

Rootkit doesn't make hooks ( SSDT, IRP, SYSENTER, IDT, inline, FSF ) and its modifications are not visible.
You can see it in action on this movies: test.wmv, test2.wmv ( 0.9MB, 0.7MB Windows Media Video 9 codec ).
The detection of this type of rootkit will be added in the next version.

2006.11.28

Version 1.0.12.12011.

2006.10.17

New tool - catchme released.
确实是半年没更新了不过支持vista

[ 本帖最后由 asinasina 于 2008-10-14 22:38 编辑 ]

dl123100

RKU和Gmer本身功能比一般的ARK工具强不少，又能在vista sp1下不蓝屏，已经很不错了。

shjj0546

强烈地支持