木马病毒查杀三剑客(请用cnnic变种和克邻大盗做对比测试-小心中毒!!!）

ooo-ppp

详细情况请到论坛询问,偶也不懂技术问题.

顺便提示: 狙剑 增加了FAT32文件系统单簇8K分区的支持

hjsienclj

下来用试试。

于傲

支持支持,收藏了

ooo-ppp

狙剑５.0.1.3 - 7月24日BUG修正版改动如下：

１、增加了进程暂停运行的功能。（对无法结束或结束后系统异常的进程可以使用此功能）

２、增加了强制重启功能（在锁定系统的情况下可以用此重启，强制重启不会给系统发送任何通知，所以在清除注册了系统关闭通知来保护自己的木马时，可以用此来重启计算机。）

３、修正了内核扫描在某些系统中蓝屏的BUG，增加了选择性扫描，在左侧的命令项上按右键可选择扫描哪一个模块。

４、增加了内核校验，可以选择几个关键内核模块：Ntosk*、Ntfs、Hal.dll、FastFat来进行内存校验，狙剑会列出当前该模块内存中的代码指令，并同时列出文件中的对应的代码供比对之用。还同时提供了，修改核心内存代码的功能，可以对系统核心内存中的代码进行修改，可应用于以下几个方面：

　　　a、手工恢复隐藏极深的Inline-HOOK。

　　　b、对前面用内核扫描找到的可疑HOOK进行确认、修改。

　　　c、驱动级程序的调试破解.

          d、其它～（发挥您丰富的想像力吧，内存代码可修改是可以做很多事情的～）

　　　注：此功能为专业人士提供，不懂的勿轻易偿试～

５、对程序界面再度进行了调整～

６、增加了单一文件验证的功能。

７、其它一些小的修正～

ooo-ppp

狙剑5.0.1.3 - 7月28日修正版改动如下：

1、增加了一个注册表编辑器。当然了，这与系统自带的那个是完全不同的，这是直接解析HIVE文件来实现注册表数据的读取与修改的。呵，对于注册表来说，这好像已经是最底层了～。对于一般情况下无法发现的或无法清除的启动项，可以在这里查看与清除。（暂时只支持WinXP、Win2003）

2、增加了系统终极修复。呵，名字挺吓人吧？只所以说是“终极”修复，是因为此修复可以将系统还原到初装状态，也就是刚装完Windows系统后，第一次重启时候的状态（是不是够终极）。那时硬件驱动还未安装，所以，修复完成后，您的系统也是硬件未安装的状态，可能会是空白桌面、840×680的屏幕分辩率，可别被吓到啊～但是，此修复并不会删除您的任何文件，所以，您安装的驱动程序都还在，只是已经不能装载了而已（如果还可以装载，那就失去修复的意义了），因此，在大多数情况下，您只需要再重启一次系统，Windows就会自动将您已经安装的驱动进行重新注册。

此功能的意义不言而喻～只要能成功修复，那无论您机器中了多少木马，都将在重启后变成死马，其各种隐藏与保护手段都将失效，这时再用狙剑的文件验证功能对可疑文件进行筛选删除，将会很爽。而其它的一些疑难杂症，也将因修复而解决。

但有一点需要特别注意：要很小心的防止二次感染，因为此修复不删除文件，所以对用文件来实现感染的病毒木马要小心了。比如：打开磁盘分区时，里面的AutoRun.inf要注意了，别被再次感染。而如果你的磁盘文件已经全部被病毒感染，汗～～就不用使用此功能了。找专杀工具或重装系统吧。此功能不修复文件，只还原系统配置。

最后，你可以放心的使用此功能，因为，偶为你提供了后悔药～可以撤消被修复的系统，完全回到修复之前。（注：会在系统目录留存备份文件：“～SS1、～SS2、～SS3、～SS4”不须还原的，可以利用狙剑提供的“清除备份文件”功能删除掉它们。）

这个与以前提供的“狙剑紧急修复”功能是一样的，那个是在系统崩溃后无法进入时用来恢复系统，这次只是给了你不崩溃也恢复的权力而已。

( 注：在某些用万能GHOST盘克隆安装的系统下可能无法使用，自己安装的系统自己做的克隆来恢复的系统不受影响）

3、修正“禁止写入PE文件”为“程序写入控制”，可以有效的防止病毒的感染，在第三方程序修改或新建EXE文件时，会被拦截，并接受用户的指示来允许或禁止。

4、重新调整了内核扫描与内核校验的代码。汗～～由于我这里一直无法重现蓝屏的故障，所以，是否已经解决，请以前用后蓝屏的朋友们用后，发个贴子报告一下子～

5、修正了狙剑的启动方式。在狙剑已经启动的情况下，再次运行狙剑，会将狙剑主窗口打开，并前台显示。

6、修正了文件管理中对NTFS分区，在某些情况下无法显示全部文件的BUG

ooo-ppp

狙剑5.0.1.3－7月31日修正版改动如下：

1、增加了“物理内存读写限制”。封堵了木马通过直接操作物理内存获取Ring0权限的通道，比如：克邻大盗就是通过操作物理内存来进入Ring0的～（偶没分析，是看得网上的分析结果，据说是如此的。）

2、增加了“权限增加控制”。

由于木马病毒的猖狂，提到安全大家都想到的是第三方安全软件，却都忽略了Windows本身的安全机制，在Windows中略微出格的操作，其实都是要经过权限检查的，只有拥有相应权限的程序才能进行相应的操作，比如木马经常用到的一些特权行为：关机或重启，它要拥有关机权限才行；更改系统时间，它要拥有更改系统时间的权限；进程注入，则要拥有打开被注入进程的调试权限，等等～～

但遗憾的微软不知是咋搞的，居然让一个程序可以轻易的自己来提升自己的权限，这无疑对整体系统安全是个破坏，所以，狙剑增加了权限控制 ，在一个程序想增加自己权限的时候，会被拦下来询问用户是否允许它增加自己的特权。而一般程序是不会用到特权行为的，所以您尽可禁止它拥有特权～你不会希望您的系统不经您同意就重启或关闭吧？那为什么要给它们关机的权限呢？

3、修正了注册表编辑器。

使注册表编辑器脱离了驱动的支持，以后可以在无驱动加载的状态下，利用其来清除木马的启动项。

4、修正了狙剑无法启动的BUG。

5、其它一些小的改动。

大家多多试用，有问题请及时反馈，等BUG减少到一定量时，将推出推广版～如无重大事由，近期狙剑将不再增加新的功能，只做BUG修正，大的改动将放到下一版本。推广版将以防护的使用为主，清除方面的改进将放到后期的版本进行

ooo-ppp

为了让更多人了解狙剑，尤其是了解狙剑的系统防护功能，特推出此推广版本，无功能限制、无时间限制，全面开放，尽可放心使用。

版本号与正式版相同。