A盾電腦防護

“A盾電腦防護”的設計思想是,作為一款anti-rootkit軟體,“A盾電腦防護”的清理目標定位是rootkit,所以“A盾電腦防護”使用了比rootkit更流氓,更主動的方式來檢查rootkit/virus,正好驗證了一句話:要對付流氓,就要用比流氓更為流氓的方法,因此使用了大量核心技術。

1:關於

由於時間匆忙,核心方面的功能都處於beta階段,
所以在使用過程中,如果發生由本工具直接或者間接導致的問題,由使用者負責。:
支持系統:windows xp/2003/win7(32bit)

2:致謝

dingking,莫為,影子,vxk,認真的雪,IThurricane,killer,sht,achillis,幻靈,強子,AlxDong,boywhp,bird/鳥總,cnhacker_root
核北/恆,CN_Tink,亂碼,Dzer0,HK_King寶,戰狼,啊蟲,豹紋咪,浪子燕青,Hillwah,ROBIN,KiDebug,漏網之魚

3:顏色說明

SSDT ->粉紅色為當前函式被掛鈎
ShadowSSDT ->粉紅色為當前函式被掛鈎
核心模組 ->粉紅色為當前核心模組檔案被刪除/褐色為無法驗證當前核心模組檔案的MD5是否原生系統檔案
核心hook ->粉紅色為當前函式被掛鈎
核線程 ->粉紅色為創建執行緒的模組非系統原生檔案
系統執行緒 ->粉紅色為執行緒所在模組處於隱藏狀態,一般正常模組是不會隱藏的,所以非常可疑
Object鉤子 ->粉紅色為當前函式被掛鈎
ntfs/Fsd ->粉紅色為當前函式被掛鈎
鍵盤 ->粉紅色為當前函式被掛鈎
滑鼠 ->粉紅色為當前函式被掛鈎
atapi ->粉紅色為當前函式被掛鈎
被動防禦 ->粉紅色為未知檔案來源的啟動模組或者進程
網路連線 ->褐色為當前tcp網路是處於連線狀態
系統進程 ->粉紅色為隱藏進程/褐色為無法驗證當前核心模組檔案的MD5是否原生系統檔案
系統服務 ->粉紅色為隱藏服務/褐色為當前服務是啟動狀態

4:驅動說明

為了避免“A盾電腦防護”的驅動被rootkit作者逆向分析,所以用了VMProtect(VMProtect.Ultimate.V2.08)加密保護
因此“A盾電腦防護”啟動的時候釋放的驅動檔案(%SystemRoot%\A-Protect.sys)可能被查殺,那是因為殺軟殺的是VMProtect的附加代碼

5:更新歷史

2012-04-21 A盾電腦防護 v0.2.5:
"A盾電腦防護 v0.2.5"
MD5: CAF8A97A2DF4B103581AB783E8983A78
SHA1: 468D13FBAD50BF34F4E3B06FD7C12DAEDD4FB7C7
CRC32: 361A1FFD
新增:
1:查看進程執行緒
2:占用檔案句柄
修復:
1:修復了界面的一個bug
2:修復了A-ProtectSDK的一些bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-04-17 A盾電腦防護 v0.2.4:
"A盾電腦防護 v0.2.4" 版本MD5:7b84f691481f2e3ccdcb63fc065ec6f1
修復:
1:修復了枚舉shadowSSDT時候掛載進程可能導致藍屏的bug
2:修復了系統執行緒有可能造成藍屏的bug
3:修復了win7下系統回調的一個bug
//**************************************
//上述bug感謝 漏網之魚 的測試,淚奔ing。
//**************************************
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-04-11 A盾電腦防護 v0.2.3:
"A盾電腦防護 v0.2.3" 版本MD5:bac2ea987dfb34c29bc79d49461ad66a
修復:
1:修復了DPC定時器模組路徑顯示不完整的bug
2:修復了系統回調模組路徑顯示不完整的bug
3:修復了DPC定時器win7下枚舉的一個藍屏bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-04-09 A盾電腦防護 v0.2.2:
"A盾電腦防護 v0.2.2" 版本MD5:609e80e2ae8a514f61f7966f09044a47
新增:
1:DPC定時器的枚舉與摘除
2:系統回調的枚舉與摘除
3:鍵盤kdbclass,滑鼠mouclass,atapi的dispatch hook枚舉與摘除
4:由於3600safe名字較為山寨,因此更名為 3600safe ==> A盾電腦防護
修復:
1:修復了在進程退出後枚舉進程模組的一個藍屏BUG(主要是沒有對進程是否退出做出正確判斷導致)
2:修復了枚舉進程DLL模組的一個藍屏BUG
//*******************************************
//以上兩個bug,感謝看雪論壇的KiDebug測試關注
//*******************************************
3:修復了若干bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-25 3600safe v0.2.1:
"3600safe v0.2.1" 版本MD5:3b0f8ef24468f8459b1523ed71a333d3
修復:
1:修復幾個界面的bug (感謝 ROBIN 提出,強子 的修改)
2:修復了更換界面之後枚舉shadowSSDT的bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-25 3600safe v0.2:
"3600safe v0.2" 版本MD5:b8853fc939b56519ebe12c2ab54fcf2d
修復:
1:修復Tcpview裡面進程路徑顯示錯誤bug
2:修復系統執行緒狀態顯示錯誤bug
3:最佳化若干核心代碼
4:更換了界面 --------------------------------> 特別感謝 L0g1n(強子),幾乎所有界面代碼都是他寫的
5:兼容了QQ電腦管家
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-11 3600safe v0.1.9:
"3600safe v0.1.9" 版本MD5:7c0b7d28dcaf7d7602a5ed762f54b9e9
新增:
1:開放3600safe SDK擴展"3600safeSDK.h",讓有興趣的人自己開發命令行版本
修復:
1:防禦日誌==>網路連線 部分進程名字顯示亂碼的問題
2:核心禁止多開
3:修復GOOGLE瀏覽器不兼容問題
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-09 3600safe v0.1.8:
"3600safe v0.1.8" 版本MD5:564733e0c4ac1f4ca101700a7176bc47
修復:
1:修復了進程路徑,進程DLL模組路徑部分顯示錯誤的bug
2:最佳化了核心hook掃描
3:最佳化了結束進程代碼
4:最佳化了枚舉進程DLL模組代碼
5:修復了自我保護代碼的bug
6:最佳化了重啟後防禦日誌邏輯
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-07 3600safe v0.1.7:
"3600safe v0.1.7" 版本MD5:63ea8c92bc5f090364aa74164b411e85
修復:
1:修復獲取系統服務描述出現亂碼的bug (嚴重感謝 灰色羽翼 Hillwah的測試)
2:修復掃描系統服務有可能藍屏的bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-06 3600safe v0.1.6:
"3600safe v0.1.6" 版本MD5:ac5997642213a6bea277a57f4a45e85f
新增:
1:最佳化了啟動界面 (嚴重感謝 豹紋咪 的PS)
修復:
1:修復掃描進程的時候一個可能造成藍屏的bug (嚴重感謝 浪子燕青,Hillwah的測試)
2:修復部分機器下獲取進程路徑顯示不正常的bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-06 3600safe v0.1.5:
"3600safe v0.1.5" 版本MD5:d7cb09227fbbb2bd2283e4e5a78d169b
修復:
1:修復掃描進程的時候獲取進程全路徑的一個可能造成藍屏的bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-04 3600safe v0.1.4:
"3600safe v0.1.4" 版本MD5:ec674b48c72d1906eef527a0b19a44bc
新增:
1:增加了防禦日誌 ==> 系統服務創建或修改防禦
修復:
1:修復網路連線的一個bug
2:去掉了保護檔案的object hook
3:簡單處理了一下object hook的二級跳掃描
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-02 3600safe v0.1.3:
"3600safe v0.1.3" 版本MD5:e2eff9d47ae4361e3041aad4365d0eb7
修復:
1:修復核心HOOK掃描的一個bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-02 3600safe v0.1.2:
"3600safe v0.1.2" 版本MD5:a59d0434c33e1f4d0194c77cb56c6bd7
修復:
1:最佳化隱藏進程掃描代碼
2:最佳化修復導入表代碼
3:修復枚舉shadowSSDT的一個bug
4:修復若干界面邏輯
5:修復若干3600safe自身進程保護邏輯(默認不保護3600safe進程,只有註冊開機啟動或者用戶點擊保護的時候,才保護3600safe進程)
6:簡單處理了一下核心HOOK掃描的二級掃描
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-02-24 3600safe v0.1.1:
"3600safe v0.1.1" 版本MD5:c53c6567428b4c06720db6deb11f9754
新增:
啟動界面
修復:
1:修復“深度服務掃描”時一個不人性化的清理方式(此bug導致啊蟲重灌系統,在此嚴重感謝 啊蟲 的測試 T.T)
2:修復在修復重定位表時的一個bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-02-24 3600safe v0.1:
"3600safe v0.1" 版本MD5:62797000b113e08f3d165bc7e0b6c577
新增:
核心Hook
增加了Eat Hook的枚舉和摘除
核心執行緒
掃面核心執行緒
清空執行緒日誌
系統執行緒
枚舉系統執行緒
結束所選執行緒
其他:
增加了對%SystemRoot%\system32\WBEM目錄下的檔案驗證支持
釋放的驅動改名為3600safe.sys方便辨認
修復:
1:修復枚舉系統進程時遺漏進程的bug
2:修復枚舉DLL模組的bug
3:最佳化核心安全模式的代碼
4:最佳化掃描隱藏進程的一個bug
5:最佳化核心Hook掃描,掃描速度有突破性增加
6:最佳化套用模組與核心模組通信的代碼
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-02-16 3600safe v0.1beta11:
"3600safe v0.1beta11" 版本MD5:a1283273dafc30f2e18e69a31ee72fe6 || 8404196cc8a22e0e8243d429be56defe
修復:
1:修復自我保護代碼的一個bug(嚴重感謝 亂碼 的測試)
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-02-16 3600safe v0.1beta10:
"3600safe v0.1beta10" 版本MD5:aed6acb52adf6e2fdb10a3cdd311b181
新增:
防禦日誌
導出防禦日誌
Tcpip
查看tcpip.sys函式
脫鉤所選函式
複製tcpip.sys函式到剪貼簿
Nsiproxy
查看Nsiproxy.sys函式
脫鉤所選函式
複製Nsiproxy.sys函式到剪貼簿
其他:
最小化到系統托盤
增加了對win7 home/旗艦版sp1 的系統原生檔案驗證
木馬啟動防禦
修復:
1:修復“一鍵卸載360”功能時重載ntfs的bug
2:修復win7 sp1 旗艦版退出時藍屏bug
3:最佳化核心模組若干代碼邏輯
4:最佳化查看網路連線代碼
5:修復了win7旗艦版sp1下無法查看tcp連線埠的bug
6:最佳化自我保護代碼邏輯
7:重寫了防禦日誌模組的核心代碼
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-02-10 3600safe v0.1beta9 2012情人節專版:
"3600safe v0.1beta9" 版本MD5:244bfa407f7a4a86a1800e0b6571c294
新增:
過濾驅動
查看過濾驅動
摘除所選設備
ntfs/FSD
增加了對win2003的支持
系統進程
枚舉進程DLL模組的時候,顯示DLL是否由SvcHost系統服務啟動
修復:
1:修復枚舉ShadowSSDT的時候申請記憶體失敗問題(感謝 bird/鳥總 幫忙測試)
2:最佳化了套用模組和核心模組申請記憶體的效率
3:修復了win7下若干可能會產生藍屏的bug (感謝 bird/鳥總 幫忙測試)
4:去掉了套用模組的VMP殼(套用模組就不加VMP了,避免各大殺軟查殺)
5:最佳化了win2003下暴力刪除檔案功能
6:整理了一下界面,貌似比之前好看了一點點
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-02-07 3600safe v0.1beta8:
"3600safe v0.1beta8" 版本MD5:25dd351a5d663468179e07f27aecce85
修復:
1:修復若干win7下導致系統藍屏的bug,感謝AlxDong、強子等提供Dump檔案
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-02-02 3600safe v0.1beta7:
"3600safe v0.1beta7" 版本MD5:dde4e5ba168a5596bf45877a1520bac9
新增:
ntfs/fsd(僅會在xp/win7下出現)
查看ntfs/Fsd函式
脫鉤所選函式
複製ntfs/Fsd函式到剪貼簿
防禦日誌
清空防禦日誌
重啟後“查看防禦日誌”
修復:
1:修復重載ntfs.sys原始地址查找的bug
2:改善了“暴力刪除檔案”功能(可刪除一切基於ntos*/ntfs.sys上做hook來保護的頑固檔案)
3:修復“防禦日誌”的一個邏輯bug
4:修復了核心模組一些潛在的邏輯bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-01-31 3600safe v0.1beta6:
"3600safe v0.1beta6" 版本MD5:f3e8ec7f43cd171a575663f2eb99d5e5
修復:
1:修復界面的一些邏輯小bug,不表
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-01-30 3600safe v0.1beta5:
"3600safe v0.1beta5" 版本MD5:8d2397135c6cab12e7f92a70bb86b7ad
新增:
1:一鍵卸載360
2:360進程保鏢
修復:
1:修復一些小bug,不表
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-01-30 3600safe v0.1beta4:
"3600safe v0.1beta4" 版本MD5:bc45b0a8578d0c563c210678bf246697
修復:
1:修復與360兼容問題
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-01-29 3600safe v0.1beta3:
"3600safe v0.1beta3" 版本MD5:d90a5819c65c74eda8973dbbda4bf9ec
新增:
ShadowSSDT
查看掛鈎函式
查看所有函式
脫鉤所選函式
脫鉤所有ShadowSSDT-HOOK
複製ShadowSSDT函式到剪貼簿
Object鉤子
掃描ObjectHook
防禦日誌
遠程木馬執行命令防禦
核心安全模式:SSDT + ShadowSSDT 重載
修復:
1:修復禁止創建進程之後,無法掃描核心Hook的問題
2:修復防禦日誌的一個藍屏bug
3:修復網路連線system進程名顯示不全的bug
4:修復核心Hook掃描的bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-01-18 SafeSystem v0.1beta2:
"SafeSystem v0.1beta2" 版本MD5:d354bf9b5c3f253adfb66c4374c4bd2e
新增:
暴力刪除檔案
禁止載入驅動
禁止創建進程
禁止創建檔案
強制環保重啟
修復:
1:核心模組路徑顯示不正確問題
2:核心hook掃描誤報問題
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-01-13 SafeSystem v0.1beta1:
"SafeSystem v0.1beta1" 版本MD5:e38b997ac64d3617955392cac645bf56
新增:
核心模組
dump所選模組記憶體到檔案
系統進程
驗證所選DLL模組是否由svchost啟動
修復:
1:hook地址計算問題
2:取csrss.exe進程pid通用問題
3:修復反覆hook NtReadFile引發藍屏問題
4:修復了核心Hook掃描幾率誤報的問題
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-01-09 SafeSystem v0.1beta:
"SafeSystem v0.1beta" 版本MD5:c19076bda5e0379a3f510fb813ae56cd
SSDT
查看掛鈎函式
查看所有函式
脫鉤所選函式
脫鉤所有SSDT-HOOK
核心模組
刷新核心模組
刷新核心模組(只看非認證的模組)
核心Hook
掃描核心hook(僅導出函式)
脫鉤所選函式
繞過所選函式的hook
防禦日誌
查看防禦日誌
網路連線
刷新網路連線
終止所選進程
系統進程
刷新進程列表
查看進程模組
終止所選進程
終止所選進程並刪除檔案
雲端驗證是否系統原生檔案
卸載所選DLL模組
卸載所選DLL模組並刪除檔案
系統服務
常規掃描
深度掃描
啟動
停止
手動
自動
禁用
刪除

相關詞條

熱門詞條

聯絡我們