123
返回列表 发新帖
楼主: ooo-ppp
收起左侧

木马病毒查杀三剑客(请用cnnic变种和克邻大盗做对比测试-小心中毒!!!)

[复制链接]
ooo-ppp
 楼主| 发表于 2007-7-18 11:52:30 | 显示全部楼层
详细情况请到论坛询问,偶也不懂技术问题.

顺便提示: 狙剑 增加了FAT32文件系统单簇8K分区的支持
hjsienclj
发表于 2007-7-21 16:25:07 | 显示全部楼层
下来用试试。
于傲
发表于 2007-7-22 10:36:20 | 显示全部楼层
支持支持,收藏了
ooo-ppp
 楼主| 发表于 2007-7-24 11:28:19 | 显示全部楼层
狙剑5.0.1.3 - 7月24日BUG修正版改动如下:

1、增加了进程暂停运行的功能。(对无法结束或结束后系统异常的进程可以使用此功能)

2、增加了强制重启功能(在锁定系统的情况下可以用此重启,强制重启不会给系统发送任何通知,所以在清除注册了系统关闭通知来保护自己的木马时,可以用此来重启计算机。)

3、修正了内核扫描在某些系统中蓝屏的BUG,增加了选择性扫描,在左侧的命令项上按右键可选择扫描哪一个模块。

4、增加了内核校验,可以选择几个关键内核模块:Ntosk*、Ntfs、Hal.dll、FastFat来进行内存校验,狙剑会列出当前该模块内存中的代码指令,并同时列出文件中的对应的代码供比对之用。还同时提供了,修改核心内存代码的功能,可以对系统核心内存中的代码进行修改,可应用于以下几个方面:

   a、手工恢复隐藏极深的Inline-HOOK。

   b、对前面用内核扫描找到的可疑HOOK进行确认、修改。

   c、驱动级程序的调试破解.

          d、其它~(发挥您丰富的想像力吧,内存代码可修改是可以做很多事情的~)

   注:此功能为专业人士提供,不懂的勿轻易偿试~

5、对程序界面再度进行了调整~

6、增加了单一文件验证的功能。

7、其它一些小的修正~
ooo-ppp
 楼主| 发表于 2007-7-28 12:03:19 | 显示全部楼层
狙剑5.0.1.3 - 7月28日修正版改动如下:

1、增加了一个注册表编辑器。当然了,这与系统自带的那个是完全不同的,这是直接解析HIVE文件来实现注册表数据的读取与修改的。呵,对于注册表来说,这好像已经是最底层了~。对于一般情况下无法发现的或无法清除的启动项,可以在这里查看与清除。(暂时只支持WinXP、Win2003)

2、增加了系统终极修复。呵,名字挺吓人吧?只所以说是“终极”修复,是因为此修复可以将系统还原到初装状态,也就是刚装完Windows系统后,第一次重启时候的状态(是不是够终极)。那时硬件驱动还未安装,所以,修复完成后,您的系统也是硬件未安装的状态,可能会是空白桌面、840×680的屏幕分辩率,可别被吓到啊~但是,此修复并不会删除您的任何文件,所以,您安装的驱动程序都还在,只是已经不能装载了而已(如果还可以装载,那就失去修复的意义了),因此,在大多数情况下,您只需要再重启一次系统,Windows就会自动将您已经安装的驱动进行重新注册。

此功能的意义不言而喻~只要能成功修复,那无论您机器中了多少木马,都将在重启后变成死马,其各种隐藏与保护手段都将失效,这时再用狙剑的文件验证功能对可疑文件进行筛选删除,将会很爽。而其它的一些疑难杂症,也将因修复而解决。

但有一点需要特别注意:要很小心的防止二次感染,因为此修复不删除文件,所以对用文件来实现感染的病毒木马要小心了。比如:打开磁盘分区时,里面的AutoRun.inf要注意了,别被再次感染。而如果你的磁盘文件已经全部被病毒感染,汗~~就不用使用此功能了。找专杀工具或重装系统吧。此功能不修复文件,只还原系统配置。

最后,你可以放心的使用此功能,因为,偶为你提供了后悔药~可以撤消被修复的系统,完全回到修复之前。(注:会在系统目录留存备份文件:“~SS1、~SS2、~SS3、~SS4”不须还原的,可以利用狙剑提供的“清除备份文件”功能删除掉它们。)

这个与以前提供的“狙剑紧急修复”功能是一样的,那个是在系统崩溃后无法进入时用来恢复系统,这次只是给了你不崩溃也恢复的权力而已。

( 注:在某些用万能GHOST盘克隆安装的系统下可能无法使用,自己安装的系统自己做的克隆来恢复的系统不受影响)

3、修正“禁止写入PE文件”为“程序写入控制”,可以有效的防止病毒的感染,在第三方程序修改或新建EXE文件时,会被拦截,并接受用户的指示来允许或禁止。

4、重新调整了内核扫描与内核校验的代码。汗~~由于我这里一直无法重现蓝屏的故障,所以,是否已经解决,请以前用后蓝屏的朋友们用后,发个贴子报告一下子~

5、修正了狙剑的启动方式。在狙剑已经启动的情况下,再次运行狙剑,会将狙剑主窗口打开,并前台显示。

6、修正了文件管理中对NTFS分区,在某些情况下无法显示全部文件的BUG
ooo-ppp
 楼主| 发表于 2007-8-3 08:14:58 | 显示全部楼层
狙剑5.0.1.3-7月31日修正版改动如下:

1、增加了“物理内存读写限制”。封堵了木马通过直接操作物理内存获取Ring0权限的通道,比如:克邻大盗就是通过操作物理内存来进入Ring0的~(偶没分析,是看得网上的分析结果,据说是如此的。)

2、增加了“权限增加控制”。

由于木马病毒的猖狂,提到安全大家都想到的是第三方安全软件,却都忽略了Windows本身的安全机制,在Windows中略微出格的操作,其实都是要经过权限检查的,只有拥有相应权限的程序才能进行相应的操作,比如木马经常用到的一些特权行为:关机或重启,它要拥有关机权限才行;更改系统时间,它要拥有更改系统时间的权限;进程注入,则要拥有打开被注入进程的调试权限,等等~~

但遗憾的微软不知是咋搞的,居然让一个程序可以轻易的自己来提升自己的权限,这无疑对整体系统安全是个破坏,所以,狙剑增加了权限控制 ,在一个程序想增加自己权限的时候,会被拦下来询问用户是否允许它增加自己的特权。而一般程序是不会用到特权行为的,所以您尽可禁止它拥有特权~你不会希望您的系统不经您同意就重启或关闭吧?那为什么要给它们关机的权限呢?

3、修正了注册表编辑器。

使注册表编辑器脱离了驱动的支持,以后可以在无驱动加载的状态下,利用其来清除木马的启动项。

4、修正了狙剑无法启动的BUG。

5、其它一些小的改动。

大家多多试用,有问题请及时反馈,等BUG减少到一定量时,将推出推广版~如无重大事由,近期狙剑将不再增加新的功能,只做BUG修正,大的改动将放到下一版本。推广版将以防护的使用为主,清除方面的改进将放到后期的版本进行
ooo-ppp
 楼主| 发表于 2007-8-8 08:59:21 | 显示全部楼层
为了让更多人了解狙剑,尤其是了解狙剑的系统防护功能,特推出此推广版本,无功能限制、无时间限制,全面开放,尽可放心使用。

版本号与正式版相同。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-3-19 00:13 , Processed in 0.096904 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表