邪恶八进制信息安全团队技术讨论组 » 论坛原创{ Original Paper } » [原创]U盘安全小工具 [查看完整版本]

zjjmj 2007-11-23 14:41

[原创]U盘安全小工具

软件作者：zjjmj
信息来源：邪恶八进制信息安全团队（[url]www.eviloctal.com[/url]）

匿名U盘安全小助手使用说明：

1、无需安装，直接运行MiniSoft即可。
2、在电脑插入U盘之前运行本程序，可以拦截U盘上的病毒进程。
3、禁止程序创建autorun.inf文件。
4、可与其它杀软共存并不影响杀毒软件的功能。

BugReport are welcome
Mailto：[email]zjjmj2002@163.com[/email]
MiniSafe v1.22 beta

新增功能：禁止创建autorun.inf文件
由于把进程藏起来杀软容易报警，就不躲藏了，呵呵。
Hook了NtOpenProcess主要是为了防止被用户误结束进程，因为结束进程后恐怕会死机。

MiniSafe v1.21 beta

变动不大，添加了一个托盘。
病毒库可以自行添加了，因为俺的赛扬633没法运行虚拟机:(。

MiniSafe v1.2 beta
2007年11月16日

U盘未插入状态下所创建的进程就不警告了，免得让人心烦。
新增一个病毒扫描功能和一个病毒库，就是xyzreg的hive注册表那个程序，
因为俺相信xyzreg老牛写的东东应该没有什么破坏代码吧，做起试验来比较安全，目前基本上能够应付一些普通壳。
可惜俺没得啥子病毒样本，而且俺又很懒，以后俺有空的话会慢慢升级俺的病毒扫描函数，陆续添加病毒库的。
5、用户可自行扩充电脑病毒库，方法为：用16进制编辑器打开Virus.Dat文件，第一行16个字节为病毒特征码。
第二行第一个双字为病毒特征码偏移位置，第二个双字为1，后面两个双字保留。

MiniSafe v1.1 beta
2007年11月16日

新增对利用ZwSetSytemInformation等已公开的进入Ring0的办法的拦截。

MiniSafe v1.0 beta

2007年11月15日

纯属无聊之作，呵呵。

HOOK了ZwLoadDriver,ZwOpenSection,ZwCreateProcess等函数来
拦截驱动加载，物理内存对象和创建进程，特别对U盘插入后运行的进程加以警告。

SDK+DDK编写，文件很小，对资源的消耗貌似比较少。

zjjmj2002是一名小公务员，他利用业余时间编写了这个软件，有什么Bug请见谅。
俺本来以为编写HOOK SSDT这种东东应该比较简单，结果还花了俺好几天时间哩，
这次没有用汇编了哈，用的C了，呵呵。

扫描原理十分简单，优点和缺点都十分明显，俺担心别人早就在用了，一直都没写出来。
首先，让我们来想一想普通加壳的一些弱点。

1、它必须把程序在内存中解密后运行，当然虚拟技术等狠角色除外。
2、要修改运行的程序指令难度很大，不容易自动实现。
3、由于函数之间有大量的相对CALL，相对JMP等指令，函数位置变动起来难度很大，不容易自动实现。

这样，我们可以HOOK 远程注入、注册表操作、文件读写等病毒特定操作，再扫描运行模块中的特征码，达到发现病毒的目的。

优点：
1、能够应付一些普通的壳。
2、增加了手工做免杀的难度，程序不运行就不报警。
缺点：
1、给了病毒一个运行的机会！（某黑客：啥子，敢给运行的机会，不想活了哇？）
2、标准不易掌握，订低了的话会让病毒PASS，订高了的话会很占系统资源。



总的来说，如果能够再与其它反病毒方法相结合，这个办法应该是可行的。

sudami 2007-11-23 20:06

嘿嘿，和heartdbg发布的那个内核监控程序差不多。多HOOK了几个函数。
MS还是不能应付恢复SSDT的病毒。

HOOK NtCreateFile禁止创建autorun.inf。
--------------------------------------------------------------------------------
汗，运行个IE，弹出12个提示框。[s:289]

boyhong 2007-11-24 20:32

能否不要弹窗口出来～～自动到托盘处～～

zjjmj 2007-11-26 17:07

再次进行了升级，新增了对全局钩子的清除和监控，THX一块三毛钱的驱动，呵呵。

vxk 2007-12-1 20:20

[quote]引用第4楼zjjmj于2007-11-26 17:07发表的 :
再次进行了升级，新增了对全局钩子的清除和监控，THX一块三毛钱的驱动，呵呵。[/quote]

不够邪恶~~

vxk 2007-12-1 20:28

搞个zzz函数Hook吧~~
你这玩意上[url]http://ds.360safe.com[/url]不？
上的话，我也准备用马甲放一个xxxx出来

邪恶总督 2007-12-3 11:05

汗，运行个IE，弹出12个提示框。

那就算了。

zjjmj 2007-12-3 20:35

[quote]引用第6楼vxk于2007-12-01 20:28发表的 :
搞个zzz函数Hook吧~~
你这玩意上[url]http://ds.360safe.com[/url]不？
上的话，我也准备用马甲放一个xxxx出来[/quote]
上上上，看看你有什么好东东，呵呵。

fjc111 2007-12-14 21:24

能否不要弹窗口出来～～自动到托盘处～～

@qiuwang 2007-12-28 13:53

还不如把u盘格成NTFS格式的，把权限设置一下，就可以防几乎一切的病毒！！！！！！！！！！！

查看完整版本: [原创]U盘安全小工具

© 1999-2008 EvilOctal Security Team