程序简介:
本程序是一个ring3级的病毒诊断程序,利用了ring3下的API HOOK技术监视了特定程序和其所有子进程的文件,注册表,进程,线程,内存的全面操作,并记录在日志文件中(日志文件名叫“myText.txt”在和程序同一目录中)。通过此程序可以帮助一些专业人士分析病毒的行为,进而做出一些防范措施。程序从前天开始开发昨天初步完成,今天完成了简单的测试。从测试中发现了一些问题需要解决和优化。一。感觉无用信息过多,需要一定的排除过滤。二。没有对网络相关的API进行拦截。三。没有监视驱动的加载。四。由于是ring3下的程序无法监视ring0下的操作。
使用方法:
使用方法很简单。可以简单的通过批处理来完成。比如下面批处理:
文件名:病毒诊断.bat
::后面跟需要监视的程序即可,如果路径中带有空格请加""号。
VirusMonitor.exe c:/windows/system32/taskmgr.exe
pause
后期程序发展:
1,目前版本最多只能算是一个测试程序,我肯定会完善它。比如对网络方面的监控以及驱动加载监控等。还有对日志的过滤,以及写一个界面操作来让使用者智能的过滤等等。
2,如果ring3下的稳定了下一步就是全面进行ring0下的程序开发。
需要测试文件的或者你在使用中有更好的建议可以用以下方式联系我:
1,QQ:285305530 回答:陈辉(chenhui),请写好说明:“病毒分析”
2,EMAIL:chenhui00530@163.com
如果是其他相关讨论的请另做说明,谢谢!
扫一扫
1028
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
