狙剑有个功能不错，推广到xuetr和天琊上吧，系统快照

gxrsprite

系统快照记录  启动项 注册表 等许多信息，先保存一份正常的，中毒后只要比较一下就能认出哪些是多出来的，

现在病毒的各项越来越难找的今天，这个功能找起来方便点

启动项，服务，注册表，插件，文件还要效验



狙剑此功能具体是这样子的：
其他功能->镜像保存    然后可以看到目录里记录了些东西

基本功能->自启动程序  -> 右边右键-> 列出不同项    就可以和之前的镜像对比


和日志不一样的是这是由软件作对比给你看，启动项，服务项，BHO等东西太多了，直接比较下

(怎么没法上传图片了，无效的图片文件)

[ 本帖最后由 gxrsprite 于 2009-6-7 13:56 编辑 ]

yangdw

这个建议不错！沙一回发

minimini

好建议
支持！

yumiao0160

一份日志+regshot

gxrsprite

主要是要借助安全工具的内核，并且要借助安全工具才能清理干净，
再提供一键还原的功能，多出来的一次性全部删掉

NOMO

比较天真

试想一下 如果一个病毒伪造系统进程 那怎么办呢?

yumiao0160

我是就事论事而已 每一款工具做大做强都是应该的 也是俺乐于看到的 但这类工具一般都是杀毒用的 换句话就是一般在已经中毒的环境中使用的 这时候一般取不到或者事先也不会保存原有的快照（特别是维护陌生人的电脑时） 但对自己的机子就不一样了 这时候这个功能就很实用了

yumiao0160

请问如何伪造进程 现在的病毒不在ring0上开刀上钩子伪造出的进程没有杀伤力 lz的想法还是比较实际的 只不过适用人群不同而已

sweetsea

快照是好搞的，不过你的电脑每天都在使用，只要你的电脑运行过，注册表信息就会有所不同。如果你再装个软件什么的，就更不同了。那么你要经常性备份才有效。往往中了病毒或者是木马都不是能够及时发现的。等你发现异常的时候，正常的备份样本已经由于空间不足删除啦！这时只有郁闷啦！

[ 本帖最后由 sweetsea 于 2009-6-5 22:07 编辑 ]

MagicFuzzX

所谓伪造进程就是让ARK显示错误的映像进程