楼主: states
收起左侧

[软件分享] 一个ARK工具SysReveal 2010-05-07更新至v1.0.0.57

  [复制链接]
freesoft00
发表于 2010-3-8 18:09:38 | 显示全部楼层
本帖最后由 freesoft00 于 2010-3-8 18:15 编辑

启动项中没有文件关联的检测
注册表中加入了阻止权限的注册表项无法删除,注册表键值好像可以删除的。
文件删除的强度还是不够,带点的目录无法删除,其它的畸形目录没有测试,不知道能不能删除。

文件关联的检查别忘了加入ie等待关联检查,现在的病毒容易在后面加入网址。下面的一个例子:
http://bbs.kafan.cn/thread-384301-154-1.html


最近一些劫持浏览器的样本,方式多样,不少样本连资源管理器、回收站等对应clsid的shell\open信息也会劫持,甚至可以劫持所有快捷方式或者常见文件类型。还有劫持输入法、屏保之类的
niucool
发表于 2010-3-8 22:10:25 | 显示全部楼层
启动项中没有文件关联的检测
注册表中加入了阻止权限的注册表项无法删除,注册表键值好像可以删除的。
文 ...
freesoft00 发表于 2010-3-8 18:09


freesoft你的的测试非常专业,有你这样的用户使用sysreveal,我一定能把它做得更好。
关于你的问题:
文件关联项:这个在我的计划内,下个版本就会支持,目前我仍在收集所有病毒可能修改的注册表项,比如IE主页,禁用regedit之类什么的,如果有个完整列表,很快就能搞出来。那位大侠如果能够提供下我就爽啦!
注册表删除,本来想做在HIVE层,但是考虑到可靠性,还是选择调用了NTDLL来实现,目前没有计划修改,反正可以通过清除钩子,设置权限什么的来实现。
文件部分的驱动代码我个人不太满意,会在这个月或者下个月重写这部分代码。
freesoft00
发表于 2010-3-8 22:23:29 | 显示全部楼层
谬赞了,初级使用者而已。

检测项目发过一次,也在这个帖子里提到,你当时还没有注册,没有看到。
下面的链接看是否有用:
http://bbs.kafan.cn/thread-384301-148-1.html
niucool
发表于 2010-3-8 22:40:13 | 显示全部楼层
呵呵,XT有200多页,不知道在哪里,翻起来费劲,我自己找找别的地方吧。
freesoft00
发表于 2010-3-8 22:44:52 | 显示全部楼层
2218楼 和 2219楼 上面的链接就是呀
niucool
发表于 2010-3-8 23:04:28 | 显示全部楼层
本帖最后由 niucool 于 2010-3-8 23:07 编辑

哦, 这回看到了,很好很强大。下个版本提前了一周,吼吼
freesoft00
发表于 2010-3-9 09:50:26 | 显示全部楼层
那些也是以前讨论的或者收集的,对现在的病毒来说,有漏掉的地方。只做个参考就可以。

启动项保存为文件是html格式的,可以参考 农夫 那个System Detector ,保存的日志用不同的颜色区分信任无问题的项目,还有可疑或者有问题的项目。

在软件中进程和启动项、服务中也可以加颜色加以区分,但颜色最好是大家公认的,约定俗成的,不要一个软件整一套配色方案,这样用户用不同的软件还得记,有时候搞混了,虽然这里面没有一个什么标准,但是最好做成一样的颜色,我看到的最新使用颜色的是wsyscheck,不如就按照它的颜色来配,只是个建议。

启动项或者待加入的文件关联检测等,右键做好有一个修复的菜单,有些项目是删除的,但有些项目不能删除,程序设定好正确值,修复为正确的。

建议在选项中最好也加入删除文件备份的选择,这个和启动项的备份一样,增加容错性,大胆的删除了,出了问题还有后悔的机会。

软件最好也加入一个修复的菜单,就象wsyscheck中的 修复隐藏文件,修复无法打开磁盘,删除临时文件,禁用自动运行等简单修复项,虽然简单,但是很实用,杀毒的时候总要修复一下的,要不然还得自动到注册表里面找或者找其它工具来处理

还有就是XueTr中的 禁止关机 禁止从起 禁止创建新进程 禁止创建新线程 等功能也是有待加入的,实际杀毒时候这些功能都能用到。

注册表的部分是否可以加入象Registry Workshop软件的收藏夹功能,自己可以把常处理的注册表键都收藏了,用的时候直接定位了,不用在注册表里面乱找。 查找 部分有点弱,无法和Registry Workshop的查找功能相比,Registry Workshop的查找一下把所以的匹配键值都列了出来,而sysreveal的注册表查找部分和windows自带的regedit查找功能一样,找一个定位一个再找下一个,如果匹配的键值有上千个,那么这个查找过程是相当费时间和痛苦的。

文件删除的部分原来的版本总是蓝屏,蓝的时候有两个dmp文件发到了本帖中,你看看有用没有,当时的测试环境是vm虚拟机,xp系统
http://bbs.kafan.cn/thread-621183-6-1.html
在83 楼

另外,建议作者新看一帖,这样更新后可以修改标题,其他人可以知道,反馈问题方便。
freesoft00
发表于 2010-3-9 10:27:15 | 显示全部楼层
本帖最后由 freesoft00 于 2010-3-9 11:01 编辑

桌面图标劫持修复工具
http://bbs.kafan.cn/thread-654920-1-1.html


删除修复的键值还可以参考上面的一些项目。


will的FixUpIE不知道很上面的重复不重复,cmd文件加了密还要解密下,没有比对和上面的是否一样。
http://bbs.kafan.cn/thread-635448-1-1.html
zhouyangbozyb
发表于 2010-3-9 12:40:18 | 显示全部楼层
看看。
niucool
发表于 2010-3-9 14:45:12 | 显示全部楼层
那些也是以前讨论的或者收集的,对现在的病毒来说,有漏掉的地方。只做个参考就可以。

启动项保存为文件 ...
freesoft00 发表于 2010-3-9 09:50


任重而道远啊,1.0的版本只会把检测功能做好,监控要等到遥远的2.0才会去做。一些常用的修复有时间我就加上。
注册表输入条下拉会有若干常用键值,目前不支持自定义。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 19:52 , Processed in 0.090895 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表