再次将俺的U盘安全小助手升级,嘿嘿。
1、无需安装,直接运行MiniSoft即可。2、在电脑插入U盘之前运行本程序,可以拦截U盘上的病毒进程。
3、可与其它杀软共存并不影响杀毒软件的功能。
BugReport are welcome
Mailto:[email]zjjmj2002@163.com[/email]
MiniSafe v1.23 beta
新增对exe文件写保护
主要是针对威金,熊猫类等低技术水平感染型病毒,使其无法对exe文件进行写操作。
不过如果你要安装新软件或者杀毒的话,还得请点击允许,因为他们对exe文件的写操作也会被拦截。
新增对机器狗拦截
采用了三道防线进行拦截
1、采用特征码扫描拦第一关,这也是最通用的办法,不过如果病毒版本升级后或者手工做了免杀能躲过了。
2、对加载驱动进行警告处理,过滤了PhysicalDriver 对象(这有可能对某些正常软件造成影响,不过网吧用户应该很少使用此类软件吧,实现要用的时候可以退出MiniSoft嘛。
3、如果前二道防线过了的话,机器狗会下载盗号木马之类的,目前这些盗取密码的方式大多是通过发WM_GETTEXT(这招应该很少用了吧?)、读进程内存、全局钩子之类的,这些MiniSoft也能够拦截。
本来打算学DosKey同学把键盘过滤驱动给Detach了,但是又怕不稳定,试想当你几队机枪兵+护士+坦克+科技球正在疯狂扫荡虫族基地时,啪,蓝屏了,那要得个啥子喃?
其中不让机器狗加载驱动很重要,如果让病毒进入Ring0的话,就是给了犯罪分子一把机枪,病毒可以轻松通过驱动Pass掉主动防御、干掉任何看不顺眼的进程,最菜的也能给你搞个蓝屏死机什么的,切记、切记。
新增功能:
增加了对全局钩子的监视。(不过目前仅支持XP,THX一块三毛钱的驱动)
MiniSafe v1.22 beta
新增功能:禁止创建autorun.inf文件
由于把进程藏起来杀软容易报警,就不躲藏了,呵呵。
Hook了NtOpenProcess主要是为了防止被用户误结束进程,因为结束进程后恐怕会死机。
防远程线程。
防内存清零结束进程。
MiniSafe v1.21 beta
变动不大,添加了一个托盘。
病毒库可以自行添加了,因为俺的赛扬633没法运行虚拟机:(。
MiniSafe v1.2 beta
2007年11月16日
U盘未插入状态下所创建的进程就不警告了,免得让人心烦。
MiniSafe v1.1 beta
2007年11月16日
新增对利用ZwSetSytemInformation等已公开的进入Ring0的办法的拦截。
MiniSafe v1.0 beta
2007年11月15日
HOOK了ZwLoadDriver,ZwOpenSection,ZwCreateProcess等函数来
拦截驱动加载,物理内存对象和创建进程,特别对U盘插入后运行的进程加以警告。
SDK+DDK编写,文件很小,对资源的消耗貌似比较少。
zjjmj2002是一名小公务员,他利用业余时间编写了这个软件,有什么Bug请见谅。
这个软件的目的只是作为杀毒软件实时监控的一个辅助之用。
主要是俺发现很多杀软的实时监控连早已经公开N久的一些RootKit技术都防不住。
比如利用ZwSetSytemInformation、ZwSystemDebugControl进Ring0之类的,好像都已经公布了好几年了吧,还有利用RegRestoreKey Hive注册表,也公布很久了吧。
还有内存清零结束进程、映像劫持过Hips(指新建一个受Hips信任的进程,再修改其内存偷梁换柱,不是指那个修改注册表的)等等。 [s:265] 界面要是能做人性化一点那就好了.. 这种界面是LZ软件的一贯作风。。。
如果把界面做好了估计LZ的这个软件在360排名会提高不少
要不把头文件给我我给你做界面?。。 二位的建议非常好,res和obj文件都在里面了。 [url]http://bbs.driverdevelop.com/htm_data/98/0711/107300.html[/url]
[s:265] 谁能把这个代码放到本地一下,我在驱动网木号..下不了 界面是用户使用软件的第一印象..把 Edit换成 SysListView32会更好些.. [s:265] 只给 .res文件怎么行?改来改去还不是那个样? [s:266]
你的软件需要脱胎换骨。。。
PS:asm加我传那代码你。见PM to asm:
俺在驱网有号 用的时候就一句话..你可以超过卡巴了...是超级超级卡...不知道LZ自己测试过米有.. [s:264]
页:
[1]