1:關於
由於時間匆忙,核心方面的功能都處於beta階段,
所以在使用過程中,如果發生由本工具直接或者間接導致的問題,由使用者負責。:
支持系統:windows xp/2003/win7(32bit)
2:致謝
dingking,莫為,影子,vxk,認真的雪,IThurricane,killer,sht,achillis,幻靈,強子,AlxDong,boywhp,bird/鳥總,cnhacker_root
核北/恆,CN_Tink,亂碼,Dzer0,HK_King寶,戰狼,啊蟲,豹紋咪,浪子燕青,Hillwah,ROBIN,KiDebug,漏網之魚
3:顏色說明
SSDT ->粉紅色為當前函式被掛鈎
ShadowSSDT ->粉紅色為當前函式被掛鈎
核心模組 ->粉紅色為當前核心模組檔案被刪除/褐色為無法驗證當前核心模組檔案的MD5是否原生系統檔案
核心hook ->粉紅色為當前函式被掛鈎
內核線程 ->粉紅色為創建執行緒的模組非系統原生檔案
系統執行緒 ->粉紅色為執行緒所在模組處於隱藏狀態,一般正常模組是不會隱藏的,所以非常可疑
Object鉤子 ->粉紅色為當前函式被掛鈎
ntfs/Fsd ->粉紅色為當前函式被掛鈎
鍵盤 ->粉紅色為當前函式被掛鈎
滑鼠 ->粉紅色為當前函式被掛鈎
atapi ->粉紅色為當前函式被掛鈎
被動防禦 ->粉紅色為未知檔案來源的啟動模組或者進程
網路連線 ->褐色為當前tcp網路是處於連線狀態
系統進程 ->粉紅色為隱藏進程/褐色為無法驗證當前核心模組檔案的MD5是否原生系統檔案
系統服務 ->粉紅色為隱藏服務/褐色為當前服務是啟動狀態
4:驅動說明
為了避免“A盾電腦防護”的驅動被rootkit作者逆向分析,所以用了VMProtect(VMProtect.Ultimate.V2.08)加密保護
因此“A盾電腦防護”啟動的時候釋放的驅動檔案(%SystemRoot%\A-Protect.sys)可能被查殺,那是因為殺軟殺的是VMProtect的附加代碼
5:更新歷史
2012-04-21 A盾電腦防護 v0.2.5:
"A盾電腦防護 v0.2.5"
MD5: CAF8A97A2DF4B103581AB783E8983A78
SHA1: 468D13FBAD50BF34F4E3B06FD7C12DAEDD4FB7C7
CRC32: 361A1FFD
新增:
1:查看進程執行緒
2:占用檔案句柄
修復:
1:修復了界面的一個bug
2:修復了A-ProtectSDK的一些bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-04-17 A盾電腦防護 v0.2.4:
"A盾電腦防護 v0.2.4" 版本MD5:7b84f691481f2e3ccdcb63fc065ec6f1
修復:
1:修復了枚舉shadowSSDT時候掛載進程可能導致藍屏的bug
2:修復了系統執行緒有可能造成藍屏的bug
3:修復了win7下系統回調的一個bug
//**************************************
//上述bug感謝 漏網之魚 的測試,淚奔ing。
//**************************************
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-04-11 A盾電腦防護 v0.2.3:
"A盾電腦防護 v0.2.3" 版本MD5:bac2ea987dfb34c29bc79d49461ad66a
修復:
1:修復了DPC定時器模組路徑顯示不完整的bug
2:修復了系統回調模組路徑顯示不完整的bug
3:修復了DPC定時器win7下枚舉的一個藍屏bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-04-09 A盾電腦防護 v0.2.2:
"A盾電腦防護 v0.2.2" 版本MD5:609e80e2ae8a514f61f7966f09044a47
新增:
1:DPC定時器的枚舉與摘除
2:系統回調的枚舉與摘除
3:鍵盤kdbclass,滑鼠mouclass,atapi的dispatch hook枚舉與摘除
4:由於3600safe名字較為山寨,因此更名為 3600safe ==> A盾電腦防護
修復:
1:修復了在進程退出後枚舉進程模組的一個藍屏BUG(主要是沒有對進程是否退出做出正確判斷導致)
2:修復了枚舉進程DLL模組的一個藍屏BUG
//*******************************************
//以上兩個bug,感謝看雪論壇的KiDebug測試關注
//*******************************************
3:修復了若干bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-25 3600safe v0.2.1:
"3600safe v0.2.1" 版本MD5:3b0f8ef24468f8459b1523ed71a333d3
修復:
1:修復幾個界面的bug (感謝 ROBIN 提出,強子 的修改)
2:修復了更換界面之後枚舉shadowSSDT的bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-25 3600safe v0.2:
"3600safe v0.2" 版本MD5:b8853fc939b56519ebe12c2ab54fcf2d
修復:
1:修復Tcpview裡面進程路徑顯示錯誤bug
2:修復系統執行緒狀態顯示錯誤bug
3:最佳化若干核心代碼
4:更換了界面 --------------------------------> 特別感謝 L0g1n(強子),幾乎所有界面代碼都是他寫的
5:兼容了QQ電腦管家
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-11 3600safe v0.1.9:
"3600safe v0.1.9" 版本MD5:7c0b7d28dcaf7d7602a5ed762f54b9e9
新增:
1:開放3600safe SDK擴展"3600safeSDK.h",讓有興趣的人自己開發命令行版本
修復:
1:防禦日誌==>網路連線 部分進程名字顯示亂碼的問題
2:核心禁止多開
3:修復GOOGLE瀏覽器不兼容問題
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-09 3600safe v0.1.8:
"3600safe v0.1.8" 版本MD5:564733e0c4ac1f4ca101700a7176bc47
修復:
1:修復了進程路徑,進程DLL模組路徑部分顯示錯誤的bug
2:最佳化了核心hook掃描
3:最佳化了結束進程代碼
4:最佳化了枚舉進程DLL模組代碼
5:修復了自我保護代碼的bug
6:最佳化了重啟後防禦日誌邏輯
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-07 3600safe v0.1.7:
"3600safe v0.1.7" 版本MD5:63ea8c92bc5f090364aa74164b411e85
修復:
1:修復獲取系統服務描述出現亂碼的bug (嚴重感謝 灰色羽翼 Hillwah的測試)
2:修復掃描系統服務有可能藍屏的bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-06 3600safe v0.1.6:
"3600safe v0.1.6" 版本MD5:ac5997642213a6bea277a57f4a45e85f
新增:
1:最佳化了啟動界面 (嚴重感謝 豹紋咪 的PS)
修復:
1:修復掃描進程的時候一個可能造成藍屏的bug (嚴重感謝 浪子燕青,Hillwah的測試)
2:修復部分機器下獲取進程路徑顯示不正常的bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-06 3600safe v0.1.5:
"3600safe v0.1.5" 版本MD5:d7cb09227fbbb2bd2283e4e5a78d169b
修復:
1:修復掃描進程的時候獲取進程全路徑的一個可能造成藍屏的bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-04 3600safe v0.1.4:
"3600safe v0.1.4" 版本MD5:ec674b48c72d1906eef527a0b19a44bc
新增:
1:增加了防禦日誌 ==> 系統服務創建或修改防禦
修復:
1:修復網路連線的一個bug
2:去掉了保護檔案的object hook
3:簡單處理了一下object hook的二級跳掃描
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-02 3600safe v0.1.3:
"3600safe v0.1.3" 版本MD5:e2eff9d47ae4361e3041aad4365d0eb7
修復:
1:修復核心HOOK掃描的一個bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-03-02 3600safe v0.1.2:
"3600safe v0.1.2" 版本MD5:a59d0434c33e1f4d0194c77cb56c6bd7
修復:
1:最佳化隱藏進程掃描代碼
2:最佳化修復導入表代碼
3:修復枚舉shadowSSDT的一個bug
4:修復若干界面邏輯
5:修復若干3600safe自身進程保護邏輯(默認不保護3600safe進程,只有註冊開機啟動或者用戶點擊保護的時候,才保護3600safe進程)
6:簡單處理了一下核心HOOK掃描的二級掃描
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-02-24 3600safe v0.1.1:
"3600safe v0.1.1" 版本MD5:c53c6567428b4c06720db6deb11f9754
新增:
啟動界面
修復:
1:修復“深度服務掃描”時一個不人性化的清理方式(此bug導致啊蟲重灌系統,在此嚴重感謝 啊蟲 的測試 T.T)
2:修復在修復重定位表時的一個bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-02-24 3600safe v0.1:
"3600safe v0.1" 版本MD5:62797000b113e08f3d165bc7e0b6c577
新增:
核心Hook
增加了Eat Hook的枚舉和摘除
核心執行緒
掃面核心執行緒
清空執行緒日誌
系統執行緒
枚舉系統執行緒
結束所選執行緒
其他:
增加了對%SystemRoot%\system32\WBEM目錄下的檔案驗證支持
釋放的驅動改名為3600safe.sys方便辨認
修復:
1:修復枚舉系統進程時遺漏進程的bug
2:修復枚舉DLL模組的bug
3:最佳化核心安全模式的代碼
4:最佳化掃描隱藏進程的一個bug
5:最佳化核心Hook掃描,掃描速度有突破性增加
6:最佳化套用模組與核心模組通信的代碼
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-02-16 3600safe v0.1beta11:
"3600safe v0.1beta11" 版本MD5:a1283273dafc30f2e18e69a31ee72fe6 || 8404196cc8a22e0e8243d429be56defe
修復:
1:修復自我保護代碼的一個bug(嚴重感謝 亂碼 的測試)
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-02-16 3600safe v0.1beta10:
"3600safe v0.1beta10" 版本MD5:aed6acb52adf6e2fdb10a3cdd311b181
新增:
防禦日誌
導出防禦日誌
Tcpip
查看tcpip.sys函式
脫鉤所選函式
複製tcpip.sys函式到剪貼簿
Nsiproxy
查看Nsiproxy.sys函式
脫鉤所選函式
複製Nsiproxy.sys函式到剪貼簿
其他:
最小化到系統托盤
增加了對win7 home/旗艦版sp1 的系統原生檔案驗證
木馬啟動防禦
修復:
1:修復“一鍵卸載360”功能時重載ntfs的bug
2:修復win7 sp1 旗艦版退出時藍屏bug
3:最佳化核心模組若干代碼邏輯
4:最佳化查看網路連線代碼
5:修復了win7旗艦版sp1下無法查看tcp連線埠的bug
6:最佳化自我保護代碼邏輯
7:重寫了防禦日誌模組的核心代碼
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-02-10 3600safe v0.1beta9 2012情人節專版:
"3600safe v0.1beta9" 版本MD5:244bfa407f7a4a86a1800e0b6571c294
新增:
過濾驅動
查看過濾驅動
摘除所選設備
ntfs/FSD
增加了對win2003的支持
系統進程
枚舉進程DLL模組的時候,顯示DLL是否由SvcHost系統服務啟動
修復:
1:修復枚舉ShadowSSDT的時候申請記憶體失敗問題(感謝 bird/鳥總 幫忙測試)
2:最佳化了套用模組和核心模組申請記憶體的效率
3:修復了win7下若干可能會產生藍屏的bug (感謝 bird/鳥總 幫忙測試)
4:去掉了套用模組的VMP殼(套用模組就不加VMP了,避免各大殺軟查殺)
5:最佳化了win2003下暴力刪除檔案功能
6:整理了一下界面,貌似比之前好看了一點點
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-02-07 3600safe v0.1beta8:
"3600safe v0.1beta8" 版本MD5:25dd351a5d663468179e07f27aecce85
修復:
1:修復若干win7下導致系統藍屏的bug,感謝AlxDong、強子等提供Dump檔案
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-02-02 3600safe v0.1beta7:
"3600safe v0.1beta7" 版本MD5:dde4e5ba168a5596bf45877a1520bac9
新增:
ntfs/fsd(僅會在xp/win7下出現)
查看ntfs/Fsd函式
脫鉤所選函式
複製ntfs/Fsd函式到剪貼簿
防禦日誌
清空防禦日誌
重啟後“查看防禦日誌”
修復:
1:修復重載ntfs.sys原始地址查找的bug
2:改善了“暴力刪除檔案”功能(可刪除一切基於ntos*/ntfs.sys上做hook來保護的頑固檔案)
3:修復“防禦日誌”的一個邏輯bug
4:修復了核心模組一些潛在的邏輯bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-01-31 3600safe v0.1beta6:
"3600safe v0.1beta6" 版本MD5:f3e8ec7f43cd171a575663f2eb99d5e5
修復:
1:修復界面的一些邏輯小bug,不表
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-01-30 3600safe v0.1beta5:
"3600safe v0.1beta5" 版本MD5:8d2397135c6cab12e7f92a70bb86b7ad
新增:
1:一鍵卸載360
2:360進程保鏢
修復:
1:修復一些小bug,不表
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-01-30 3600safe v0.1beta4:
"3600safe v0.1beta4" 版本MD5:bc45b0a8578d0c563c210678bf246697
修復:
1:修復與360兼容問題
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-01-29 3600safe v0.1beta3:
"3600safe v0.1beta3" 版本MD5:d90a5819c65c74eda8973dbbda4bf9ec
新增:
ShadowSSDT
查看掛鈎函式
查看所有函式
脫鉤所選函式
脫鉤所有ShadowSSDT-HOOK
複製ShadowSSDT函式到剪貼簿
Object鉤子
掃描ObjectHook
防禦日誌
遠程木馬執行命令防禦
核心安全模式:SSDT + ShadowSSDT 重載
修復:
1:修復禁止創建進程之後,無法掃描核心Hook的問題
2:修復防禦日誌的一個藍屏bug
3:修復網路連線system進程名顯示不全的bug
4:修復核心Hook掃描的bug
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-01-18 SafeSystem v0.1beta2:
"SafeSystem v0.1beta2" 版本MD5:d354bf9b5c3f253adfb66c4374c4bd2e
新增:
暴力刪除檔案
禁止載入驅動
禁止創建進程
禁止創建檔案
強制環保重啟
修復:
1:核心模組路徑顯示不正確問題
2:核心hook掃描誤報問題
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-01-13 SafeSystem v0.1beta1:
"SafeSystem v0.1beta1" 版本MD5:e38b997ac64d3617955392cac645bf56
新增:
核心模組
dump所選模組記憶體到檔案
系統進程
驗證所選DLL模組是否由svchost啟動
修復:
1:hook地址計算問題
2:取csrss.exe進程pid通用問題
3:修復反覆hook NtReadFile引發藍屏問題
4:修復了核心Hook掃描幾率誤報的問題
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-01-09 SafeSystem v0.1beta:
"SafeSystem v0.1beta" 版本MD5:c19076bda5e0379a3f510fb813ae56cd
SSDT
查看掛鈎函式
查看所有函式
脫鉤所選函式
脫鉤所有SSDT-HOOK
核心模組
刷新核心模組
刷新核心模組(只看非認證的模組)
核心Hook
掃描核心hook(僅導出函式)
脫鉤所選函式
繞過所選函式的hook
防禦日誌
查看防禦日誌
網路連線
刷新網路連線
終止所選進程
系統進程
刷新進程列表
查看進程模組
終止所選進程
終止所選進程並刪除檔案
雲端驗證是否系統原生檔案
卸載所選DLL模組
卸載所選DLL模組並刪除檔案
系統服務
常規掃描
深度掃描
啟動
停止
手動
自動
禁用
刪除