牛刀小试，全面超越冰刃的新ARK工具XueTr

tawny2008

原帖由 chenhui530 于 2009-3-11 22:59 发表
看来用EQ的人还是瞒多的
我得尽快编写HIPS

哈哈，手动？智能？是指天琊的模块功能吗？那肯定是做成智能的了？

backway

原帖由 chenhui530 于 2009-3-11 22:59 发表
看来用EQ的人还是瞒多的
我得尽快编写HIPS

哈哈，期待

我系统用不了EQ4.0以上的 都死机 还停留在07年的版本上

chenhui530

原帖由 tawny2008 于 2009-3-11 23:02 发表


不用重定向用虚拟机？记得有个才几十M的虚拟机，或许改良后可以利用，这样在虚拟机运行就很安全了

天琊设计初的时候就象加入重定向功能的，可惜人的精力有限啊。

chenhui530

原帖由 tawny2008 于 2009-3-11 23:04 发表


哈哈，手动？智能？是指天琊的模块功能吗？那肯定是做成智能的了？

我准备写两种，一种是完全智能的一种是传统性的hips，但是可能周期有点长
单身奋战，精力有限

chenhui530

原帖由 backway 于 2009-3-11 23:04 发表


哈哈，期待

我系统用不了EQ4.0以上的 都死机 还停留在07年的版本上

到时大家帮写规则吧

其实我写惯了全智能的现在写规则型的还真不习惯，总拿全智能的思路来想问题

tawny2008

原帖由 dl123100 于 2009-3-11 23:01 发表

感觉就加强了dll劫持这块，不像之前的那样建立空文件夹。其它很多跟hbkernel差不多，甚至不如hebkernel。hbkernel的几个变种文件防删做得还可以，360文件粉碎都删不了。可惜现在样本都丢了，本来可以用来测试下新出 ...

样本区没有吗？样本区的病毒很全啊，DLL挟持还是近几年的技术吧，我记得那篇文章是07年的

dl123100

原帖由 chenhui530 于 2009-3-11 23:03 发表


是不是建立了..\的目录啊

话说360的文件粉碎功能好像并不是很强（我没有攻击它的意思）。

用的是驱动，不是在大侠你看来应该也是老技术。
另外，它能删除uplus利用fat32的bug创建的免疫文件。

tawny2008

原帖由 chenhui530 于 2009-3-11 23:04 发表


天琊设计初的时候就象加入重定向功能的，可惜人的精力有限啊。

记得重定向拦截几个函数就可以了，应该很容易实现的

backway

..\这种畸形文件夹360可以粉碎的  
话说
DEL /F /A /Q \\?\%1
RD /S /Q \\?\%1
都能删那个畸形。

chenhui530

正式版的设计，我想把天琊再次精简瘦身。到时估计天琊就只剩下进程和文件管理以及常见的ARK功能了。比如钩子扫描之类的
其他都以插件存在了。比如最近我在重写“超级进程监视器”将会以插件形式存在。
顺便说说这个小东西，修改后的会被之前的灵活度更大。
我一般用这个就足够上网安全了