一款手工杀毒/Anti-rootkit工具-ixer 0.11开源版

最新推荐文章于 2014-10-20 00:36:49 发布
置顶 VIP文章 最新推荐文章于 2014-10-20 00:36:49 发布
阅读量2.9k 收藏 3
点赞数 2
分类专栏: Anti-rootkit 文章标签: ixer Anti-rootkit 开源 安全 杀毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Chinghoi/article/details/9102521
版权

前言:

      随着信息科技的迅速发展,Internet已经成为全球最重要的信息传播工具。当人们在享受网络为我们的工作、生活带来方便和效率的同时,但它们潜在地也带来了安全问题。据统计,凡是刚开始接触过互联网的人,大部分人都或多或少的被入侵、恶意攻击过,并且安全威胁事件逐年上升。可见黑客如此猖獗,应该采取什么手段来防止黑客入侵是大家普遍关心的问题。

长期以来,最为严重的安全威胁就是恶意程序。恶意程序不仅会给个人带来危害,如个人隐私被窃取,还会给企业带来巨大损失,最为严重的是还可能使国家安全面临严重的威胁。               

特别是各种后门间谍软件和rootkit等深度隐藏的恶意程序已经成为了计算机安全领域的重点防范对象。话说: 魔高一尺,道高一丈! 事物都有两面性的,即有rookit就会有Anti-rookit。


      0.11开源版 核心功能:

1. 进程、线程、进程Dll模块的枚举与检测,强杀进程、线程、卸载模块等功能

2. 内核驱动模块的枚举与检测,定位、删除驱动文件

3. ssdt表的检测和恢复

4. Shadow Ssdt表的检测和恢复

5. 消息钩子的枚举和卸载

6. 注册表枚举和删除

7. 文件枚举和删除

8. 网络端口枚举、终止联网进程

       此作品不仅能够用于个人电脑上作为手工查杀的辅助工具,还能作为计算机安全人员研究rootkit的参考工具,本工具为作者学习windows内核驱动安全编程写的工具,内心功能大都是用内核驱动实现的。实现了Anti-rootkit部分功能模块,作为ARK工具尚欠完善,但可作学习参考研究,高手请飘过。为了发扬开源精神,广交好友,作品工程项目面对所有网友开源! 希望能够帮助到像作者一样热衷于windows内核安全的刚起步的晚辈们,在研究参考或开发过程中有遇到技术瓶颈可以联系作者研究学习讨论,作者也很期待能广交各路豪友。

开发环境:

界面:

MFC(C/C++) /Microsoft Visual C++ 6.0

驱动:

C、汇编 /Microsoft Visual Studio 2008 + WDK 7600.16385.1

运行环境:

Windows XP sp2sp3

联系信息:

作者:Chinghoi(谭正海)

Email:[email protected]

Bloghttp://blog.csdn.net/Chinghoi


工具&作品源码下载地址:

http://download.csdn.net/detail/chinghoi/5586515


0.11界面预览:


主界面->进程管理

截图为检测到HideToolz自身及其隐藏的计算器、扫雷进程



主界面->进程标签->

最低0.47元/天 解锁文章
Chinghoi
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
cpp-Reptile一个LKMLinuxrootkit
08-16
Reptile一个LKM Linux rootkit
pspcidtable
yaneng的专栏
06-18 1222
第8个男人" 的code里面就做的很好,找到PspCidTable后自己搜索所有的进程对象就行了://----------------------------------------------------------------------VOID IsValidProcess ()/*++Author : 第8个男人Leaner : sudami [[email protected]]T
[转载]基于pspCidTable的进程检测技术
yaneng的专栏
06-18 4269
基于pspCidTable的进程检测技术文章作者:gz1x信息来源:邪恶八进制信息安全团队(www.eviloctal.com)一.     pspCidTable概念及内核调试二.     获取pspCidTable的方法三.     几种进程检测方法的对比四.     anti-pspCidTable技术及其他一.     pspCidTable概念及内核调试-----------------
PspCidTable 完全解读
weixin_34216036的博客
12-07 207
PspCidTable 完全解读 by sysdog 2009.5.1 Whu ------------------------------------------------------------------------------- 一、句柄 句柄:HADNLE 在winnt.h 定义如下: typedef void *HANDLE; 是一个 3...
内核PspCidTable句柄表遍历获取隐藏进程
CrazyWolf的专栏
09-23 2338
先从WinDBG中来看下PspCidTable. lkd> dd pspcidtable 84196eb4 8ae011c8 00000000 80000018 00000101 84196ec4 800005e0 80000020 00000000 00000000 84196ed4 00000000 00000000 00000000 00000113 84196ee4 0000
关于PspCidTable
zfdyq
10-20 909
PspCidTable为一个全局变量,其格式与普通的句柄表是完全一样的. 但它与每个进程私有的句柄表有以下不同:  1.PspCidTable中存放的对象是系统中所有的进线程对象指针,其索引就是PID和CID  2.PspCidTable中存放是对象体(指向EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HEADER)  3.PspCidTable
pspCidTable
Mr.Out的专栏
10-14 1144
<br /><br />一.                        pspCidTable概念及内核调试<br />-----------------------------------------------------<br /><br />pspCidTable是内核未导出的HANDLE_TALBE结构,它保存着所有进程和线程对象的指针。<br />只要能遍历这个PspCidTable句柄表,就可以遍历到系统的所有进程,包括所有隐藏进程,除非你抹掉pspCidTable...<br /><br
PspCidTable攻与防
wowbell的专栏
03-17 1206
转自:http://hi.baidu.com/_achillis/blog/item/2bb59619d8019cbc4bedbc56.htmlPspCidTable的攻与防,其实就是进程隐藏与检测所涉及到的一部分工作~~ 不管基于PspCidTable的进线程检测,还是抹PspCidTable进行进程对象的隐藏,都涉及到对PspCidTable的遍历. 所以如何安全正确地遍历PspCidTable才是该技术的关键 一、获取PspCidTable的地址 常用的方法是从前面提到的三个查询PspCidT
deianeira.rar_Anti-rootkit_Free!
09-14
Deianeira anti-rootkit is a free and handy toolkit for Windows
AntiRootkit工具-XueTr 吾爱破解论坛专2010.11.30更新
12-26
一个强大的手工杀毒工具,支持32位的2000、xp、2003、vista、2008和Win7操作系统。 目前实现如下功能: 1.进程、线程、进程模块、进程窗口、进程内存、定时器、热键信息查看,杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看,支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除 5.端口信息查看,目前不支持2000系统 6.查看消息钩子 7.内核模块的iat、eat、inline hook、patches检测和恢复 8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除 9.注册表编辑 10.进程iat、eat、inline hook、patches检测和恢复 11.文件系统查看,支持基本的文件操作 12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME 13.ObjectType Hook检测和恢复 14.DPC定时器检测和删除 15.MBR Rootkit检测和修复 16.内核对象劫持检测 17.WorkerThread枚举
类似冰刃的驱动AntiRootKit源码
08-21
类似冰刃的驱动AntiRootKit源码...............................
win-unhooker:anti-rootkit-Windows Unhooker的简单实现
05-19
双赢 anti-rootkit-Windows Unhooker的简单实现。
Griffin-Hypervisor:使用Intel VT-x实现的Anti-Rootkit
03-18
Girffin系统管理程序 使用Intel VT-x功能实现的Anti-Rootkit。 Griffin项目包含许多模块,其中之一就是Griffin Hypervisor。 Griffin Hypervisor是带有我们自定义安全模块的VT-x虚拟机管理程序,可在内核级别观察恶意行为。
最小巧的杀毒工具 软件
02-06
clamwin 是一款免费小巧的杀毒软件,幽灵网络安全倾力推荐。
隐藏进程(源代码)
06-22
隐藏进程(源代码)
Anti MBR-Rootkit技术研究
01-20
摘要:本文主要对磁盘主引导记录MBR和Windows操作系统的启动过程进行了阐述,对Rootkit和MBR-Rootkit技术特点进行了总结,对MBR-Rootkit结构和实例的行为特点进行了深入研究和剖析,针对WinXP操作系统的MBR-Rootkit...
基础电子中的Anti MBR-Rootkit技术研究
10-20
摘要:本文主要对磁盘主引导记录MBR和Windows操作系统的启动过程进行了阐述,对Rootkit和MBR-Rootkit技术特点进行了总结,对MBR-Rootkit结构和实例的行为特点进行了深入研究和剖析,针对WinXP操作系统的MBR-Rootkit...
wdbgark:WinDBG Anti-RootKit扩展
02-06
WinDBG Anti-RootKit扩展 前言 是的扩展(动态库)。 它的主要目的是使用内核调试器查看和分析Windows内核中的异常。 可以查看各种系统回调,系统表,对象类型等。 对于更用户友好的视图扩展,请使用DML。 对于...
tur 进程anti rootkit
最新发布
09-01
为了应对这种威胁,Tur进程被设计为一种专门用于发现和清除Rootkit工具。 Tur进程的工作原理是扫描和监视操作系统中的特定目录和文件,并尝试检测Rootkit的存在。它使用一系列技术和算法来分析系统文件和进程,以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值