一个ARK工具SysReveal 2010-05-07更新至v1.0.0.57

显示全部楼层 · 发表于 2010-3-8 18:09:38

本帖最后由 freesoft00 于 2010-3-8 18:15 编辑

启动项中没有文件关联的检测
注册表中加入了阻止权限的注册表项无法删除，注册表键值好像可以删除的。
文件删除的强度还是不够，带点的目录无法删除，其它的畸形目录没有测试，不知道能不能删除。

文件关联的检查别忘了加入ie等待关联检查，现在的病毒容易在后面加入网址。下面的一个例子：
http://bbs.kafan.cn/thread-384301-154-1.html

最近一些劫持浏览器的样本，方式多样，不少样本连资源管理器、回收站等对应clsid的shell\open信息也会劫持，甚至可以劫持所有快捷方式或者常见文件类型。还有劫持输入法、屏保之类的

显示全部楼层 · 发表于 2010-3-8 22:10:25

启动项中没有文件关联的检测
注册表中加入了阻止权限的注册表项无法删除，注册表键值好像可以删除的。
文 ...
freesoft00 发表于 2010-3-8 18:09

freesoft你的的测试非常专业，有你这样的用户使用sysreveal，我一定能把它做得更好。
关于你的问题：
文件关联项：这个在我的计划内，下个版本就会支持，目前我仍在收集所有病毒可能修改的注册表项，比如IE主页，禁用regedit之类什么的，如果有个完整列表，很快就能搞出来。那位大侠如果能够提供下我就爽啦！
注册表删除，本来想做在HIVE层，但是考虑到可靠性，还是选择调用了NTDLL来实现，目前没有计划修改，反正可以通过清除钩子，设置权限什么的来实现。
文件部分的驱动代码我个人不太满意，会在这个月或者下个月重写这部分代码。

显示全部楼层 · 发表于 2010-3-8 22:23:29

谬赞了，初级使用者而已。

检测项目发过一次，也在这个帖子里提到，你当时还没有注册，没有看到。
下面的链接看是否有用：
http://bbs.kafan.cn/thread-384301-148-1.html

显示全部楼层 · 发表于 2010-3-8 22:40:13

呵呵，XT有200多页，不知道在哪里，翻起来费劲，我自己找找别的地方吧。

显示全部楼层 · 发表于 2010-3-8 22:44:52

2218楼和 2219楼上面的链接就是呀

显示全部楼层 · 发表于 2010-3-8 23:04:28

本帖最后由 niucool 于 2010-3-8 23:07 编辑

哦，这回看到了，很好很强大。下个版本提前了一周，吼吼

显示全部楼层 · 发表于 2010-3-9 09:50:26

那些也是以前讨论的或者收集的，对现在的病毒来说，有漏掉的地方。只做个参考就可以。

启动项保存为文件是html格式的，可以参考农夫那个System Detector ，保存的日志用不同的颜色区分信任无问题的项目，还有可疑或者有问题的项目。

在软件中进程和启动项、服务中也可以加颜色加以区分，但颜色最好是大家公认的，约定俗成的，不要一个软件整一套配色方案，这样用户用不同的软件还得记，有时候搞混了，虽然这里面没有一个什么标准，但是最好做成一样的颜色，我看到的最新使用颜色的是wsyscheck，不如就按照它的颜色来配，只是个建议。

启动项或者待加入的文件关联检测等，右键做好有一个修复的菜单，有些项目是删除的，但有些项目不能删除，程序设定好正确值，修复为正确的。

建议在选项中最好也加入删除文件备份的选择，这个和启动项的备份一样，增加容错性，大胆的删除了，出了问题还有后悔的机会。

软件最好也加入一个修复的菜单，就象wsyscheck中的修复隐藏文件，修复无法打开磁盘，删除临时文件，禁用自动运行等简单修复项，虽然简单，但是很实用，杀毒的时候总要修复一下的，要不然还得自动到注册表里面找或者找其它工具来处理

还有就是XueTr中的禁止关机禁止从起禁止创建新进程禁止创建新线程等功能也是有待加入的，实际杀毒时候这些功能都能用到。

注册表的部分是否可以加入象Registry Workshop软件的收藏夹功能，自己可以把常处理的注册表键都收藏了，用的时候直接定位了，不用在注册表里面乱找。查找部分有点弱，无法和Registry Workshop的查找功能相比，Registry Workshop的查找一下把所以的匹配键值都列了出来，而sysreveal的注册表查找部分和windows自带的regedit查找功能一样，找一个定位一个再找下一个，如果匹配的键值有上千个，那么这个查找过程是相当费时间和痛苦的。

文件删除的部分原来的版本总是蓝屏，蓝的时候有两个dmp文件发到了本帖中，你看看有用没有，当时的测试环境是vm虚拟机，xp系统
http://bbs.kafan.cn/thread-621183-6-1.html
在83 楼

另外，建议作者新看一帖，这样更新后可以修改标题，其他人可以知道，反馈问题方便。

显示全部楼层 · 发表于 2010-3-9 10:27:15

本帖最后由 freesoft00 于 2010-3-9 11:01 编辑

桌面图标劫持修复工具
http://bbs.kafan.cn/thread-654920-1-1.html

删除修复的键值还可以参考上面的一些项目。

will的FixUpIE不知道很上面的重复不重复，cmd文件加了密还要解密下，没有比对和上面的是否一样。
http://bbs.kafan.cn/thread-635448-1-1.html

显示全部楼层 · 发表于 2010-3-9 12:40:18

看看。

显示全部楼层 · 发表于 2010-3-9 14:45:12

那些也是以前讨论的或者收集的，对现在的病毒来说，有漏掉的地方。只做个参考就可以。

启动项保存为文件 ...
freesoft00 发表于 2010-3-9 09:50

任重而道远啊，1.0的版本只会把检测功能做好，监控要等到遥远的2.0才会去做。一些常用的修复有时间我就加上。
注册表输入条下拉会有若干常用键值，目前不支持自定义。

[软件分享] 一个ARK工具SysReveal 2010-05-07更新至v1.0.0.57