13

AntiSpy:一款功能强大的反病毒&反Rootkit免费工具套件

 4 years ago
source link: https://www.freebuf.com/articles/system/221820.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

AntiSpy是一款免费但功能强大的反病毒与反rootkit工具套件,该工具可以给安全研究人员提供最高级别的权限来帮助我们检测、分析和恢复各种内核修改以及钩子设置。这样一来,在AntiSpy的帮助下,我们就可以轻松发现并处理那些普通扫描器无法检测到的恶意软件了。

一款功能强大的手工杀毒辅助工具

AntiSpy是一款完全免费,并且功能强大的手工杀毒辅助工具。它可以枚举系统中隐藏至深的进程、文件、网络连接、内核对象等,并且也可以检测用户态、内核态各种钩子。在它的帮助下,我们可以轻松删除各种顽固病毒、木马、Rootkit,还我们一片干净舒适的上网环境。

开发环境

开发工具: Visual Studio 2008

用户层: MFC

内核层: WDK7600

第三方库:Codejock toolkit pro

代码结构

AntiSpy_Root_Dir
├── LICENSE                         (开源协议)
├── README.md                       (AntiSpy工程介绍文档)
├── doc                             (工具介绍,版本更新记录等)
│   ├── Readme.txt
├── icon                            (AntiSpy软件图标)
│   └── icon.ico
├── src
│   ├── Antispy                     (AntiSpy主工程代码)
│   │   ├── Common                  (驱动和界面共用的头文件、数据结构等)
│   │   ├── SpyHunter               (AntiSpy用户态界面代码,采用MFC编写)
│   │   ├── SpyHunter.sln           (VS2008工程文件)
│   │   └── SpyHunterDrv            (AntiSpy内核驱动代码)
│   └── ResourceEncrypt             (对驱动等资源进行加密的工程)
│       ├── ResourceEncrypt
│       ├── ResourceEncrypt.sln
│       └── clear.bat
└── tools
    ├── ResourceEncrypt.exe         (已经编译好的加密工具)
└── TestTools.exe               (测试AntiSpy安全能力是否可用的工具)

功能介绍

AntiSpy目前实现的功能如下,包括但不限于:

进程管理器

 1、查看进程线程、模块、窗口、内存、热键、定时器、权限等信息;
 2、查看进程运行时间、命令行、当前目录、PEB等信息;
 3、关闭进程、关闭线程、卸载模块、拷贝进程内存,查找进程模块;
 4、创建进程调试DUMP;
 5、往进程中注入模块;
 6、扫描进程Ring3钩子;

各种钩子查看及恢复

 1、常见内核钩子的查看和恢复,包括SSDT、Shadow SSDT、FSD、键盘、鼠标、TCPIP、Classpnp、Atapi、Acpi、IDT、Object hook、内核入口等;
 2、内核模块的iat、eat、inline hook、patches检测和恢复;
 3、用户层消息钩子的查看和卸载;
 4、CreateProcess、CreateThread、LoadImage、Registry、Shutdown等Notify Routine信息查看和删除;

内核对象查看及管理

 1、内核驱动模块的查看,内核驱动模块的内存拷贝,卸载驱动内核模块;
 2、DPC和IO定时器等内核定时器的查看和删除;
 3、系统线程的查看和结束;
 4、WorkerThread信息查看;
 5、内核调试寄存器的查看和恢复;
 6、磁盘、卷、键盘、网络层等过滤驱动的枚举;
 7、内核对象劫持检测;
 8、直接IO进程的检测和恢复;

注册表编辑器

 1、通过解析原始hive,能够查看和编辑隐藏的注册表键值;
 2、快速定位到最常用的注册表键

文件管理器

 1、展示文件基本信息,包括文件名、文件属性、文件大小等;
 2、快速定位到最常用的文件夹;
 3、通过IRP底层操作,查看和编辑隐藏的文件;
 4、查看和删除被锁定的文件和文件夹;
 5、计算文件hash及文件比较器;

系统服务管理器

 1、系统服务的枚举和操作,可以枚举隐藏的服务;
 2、对系统服务进行管理,比如更改启动顺序,启动状态等;

开机自启动项管理

 1、能够枚举系统中几乎所有的开机启动项;
 2、管理启动项,包括停止、运行、永久删除;

网络信息管理

 1、查看应用程序的联网情况,包括端口、远程地址等信息;
 2、对hosts文件的查看、编辑和重置为默认;
 3、查看和修复系统LSP信息;

其他一些常用功能

 1、系统用户、隐藏用户的枚举和删除
 2、禁止创建进程、禁止创建线程、禁止加载驱动等反病毒选项
 3、解锁注册表、任务管理器、命令解释器等
 4、修复安全模式
 5、以16进制形式查看和编辑系统内存和进程内存
 6、反汇编系统内存和进程内存
 7、MBR病毒的检测和修复
 8、常用文件关联项的枚举和修复
 9、映像劫持的检测和修复
 10、IME输入法的枚举和管理
 11、反间谍记录器,包括反截屏记录器等

用户操作界面

进程管理

neqQNzu.jpg!web

进程菜单

7ryI7na.jpg!web

网络连接管理

jaimuu3.jpg!web

文件管理

EfmqQnB.jpg!web

自动运行软件管理

FRn2Ani.jpg!web


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK