PowerTool(16/03/08/22更新64位V2.0，增加了硬件检测，UEFI/GPT简单检测~ )

显示全部楼层 · 发表于 2011-12-22 16:26:02

这个用过，特别是用来删除那种删不掉的文件，可以说易如反掌！

显示全部楼层 · 发表于 2011-12-24 17:36:25

PowerTool(12/24更新，圣诞节版，新增VBR bootkit/内存欺骗检测等功能)

显示全部楼层 · 发表于 2011-12-24 17:43:19

等了好久，终于等来了啊

显示全部楼层 · 发表于 2011-12-24 17:56:34

支持更新。
看了下新版，试了几个VBR Bootkit，检测不了Cidox、Carberp、MaxSS等目前流行的VBR Bootkit。对Cidox、Carberp，将VBR上传到virustotal或许可以检测恶意VBR。但是对于MaxSS，由于PT本身备份的VBR不是MaxSS改写的那部分，上传到vt检测也没用。
内存欺骗检测是对抗KiDebugRoutine hook+Drx，可惜似乎只是想对付下MaxSS，没有分析这类欺骗方法，检测结果自然不怎么样。
另外看到在加载驱动失败后增加了选择注册为boot驱动的提示，可惜作者本身对boot start的注册没有测试，没有控制加载顺序来真正达到预先加载的目的，也没有让PT驱动适应这种方式的启动。

显示全部楼层 · 发表于 2011-12-24 18:07:43

dl123100 发表于 2011-12-24 18:56
支持更新。
看了下新版，试了几个VBR Bootkit，检测不了Cidox、Carberp、MaxSS等目前流行的VBR Bootkit。对 ...

感谢dl大牛在第一时间的反馈

vbr的检测，我只试过Cidox，我测试的那个样本，没问题可以检测，
原来MaxSS也开始改写vbr了。。。我没注意到，呵呵，有时间再研究一下

内存欺骗，我是针对了http://blogs.mcafee.com/mcafee-l ... ttempt-by-a-rootkit
一文中的样本，并且下载到了样本，技术细节我还没仔细研究，惭愧啊

适应boot启动，原来还要修改驱动的啊。。。
这次比较匆忙，没仔细写这部分，争取下个版本完善，呵呵

显示全部楼层 · 发表于 2011-12-24 19:02:00

不知道为什么启动不了。附件是dump

显示全部楼层 · 发表于 2011-12-24 19:29:05

下载使用不知道为什么vista偶尔会蓝屏

显示全部楼层 · 发表于 2011-12-24 19:59:31

更新了，下载收藏，谢谢

显示全部楼层 · 发表于 2011-12-24 20:04:52

来更新了

显示全部楼层 · 发表于 2011-12-24 23:59:27

感谢更新，话说软件标题上的网址很不给力，还是只有名称和版本号的好。

[原创工具] PowerTool(16/03/08/22更新64位V2.0，增加了硬件检测，UEFI/GPT简单检测~ )

评分

评分

评分