小精灵主动防御系统的设计与实现-编程技术-看雪-安全社区|安全招聘|kanxue.com

小精灵主动防御系统的设计与实现

发表于: 2009-12-16 18:05 23889

小精灵主动防御系统的设计与实现

hljleo

2009-12-16 18:05

23889

最近没啥事做，，把以前下载在电脑中的一些程序翻了翻，，然后自己修改了，山寨了个简单的主动防御（呵呵，，各位大牛别拍死俺），，呵呵，，很是感激那些无私提供代码的牛牛。。。
代码比较简单，，在附件中，，看看还可以。。。。。稳定性个人无法保证。。。。。

进程方面：本主动防御系统采用驱动技术对进程创建进行拦截并通知用户，从而使用户了解到未知的恶意程序，达到防范病毒的目的。（已完成）

文件方面：开启本主动防御将会对新创建的隐藏文件进行提示，从而达到对文件方面的监控。（已完成）

注册表方面：病毒通常修改注册表，因此本主动防御系统提供了注册表创建功能，同时本主动防御系统还对病毒有可能的各种启动方式进行监控。（已完成）

驱动方面：开启本主动防御将会对加载的驱动程序进行监控。（已完成）

恶意网页行为监控：目前采用监控恶意网页对注册表的修改从而达到对ie浏览器的修改的监控（IE浏览器部分保护功能已经实现。)

U盘扫描：对u盘的扫描，特别对autorun.inf病毒的查杀(完成)

附件中是源码（ring3，ring0，一份简介文档）

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

ProtectPC.rar （590.73kb，466次下载）

收藏・23

免费・7

支持

最新回复 (56) 1 2 3 ▶
飞心男孩雪币： 300 活跃值： (179) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 137 粉丝 1 关注私信	飞心男孩 2 2 楼纯友情支持。看成是 “智能主动防御”了～～～ 2009-12-16 19:56 0
hystat 雪币： 188 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 134 粉丝 0 关注私信	hystat 3 楼好的，支持楼主 2009-12-16 19:58 0
默数悲伤雪币： 297 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 10 回帖 130 粉丝 0 关注私信	默数悲伤 6 4 楼首先顶一下：）主动防御对用户的技术水平要求很高。这个山寨版的看起来似乎要求更高啦。此外似乎该支持恶意行为的拦截。这似乎才是主动防御的灵魂所在。 2009-12-16 20:05 0
chenjun 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 113 粉丝 0 关注私信	chenjun 5 楼这是个hips 雏形？ 2009-12-16 20:28 0
kuang110 雪币： 89 活跃值： (185) 能力值： ( LV9，RANK：270 ) 在线值：发帖 18 回帖 338 粉丝 0 关注私信	kuang110 6 6 楼适合学习，界面少了点。呵呵 2009-12-17 08:19 0
xicao 雪币： 243 活跃值： (169) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 113 粉丝 0 关注私信	xicao 7 楼动作序列化拦截 2009-12-17 08:57 0
cschenhui 雪币： 290 活跃值： (20) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 116 粉丝 0 关注私信	cschenhui 8 楼这叫主动防御？ 2009-12-17 09:25 0
xhackx 雪币： 220 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	xhackx 1 9 楼楼主当拦截进程创建之后是否会报错？ 2009-12-17 11:06 0
编程小猪雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	编程小猪 10 楼先看看，谢谢啦 2009-12-17 11:15 0
dnybz 雪币： 66 活跃值： (830) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 11 楼纯友情支持 2009-12-17 11:31 0
niuhacker 雪币： 133 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 107 粉丝 0 关注私信	niuhacker 12 楼支持一下，多谢楼主！ 2009-12-17 11:33 0
鹿剑雪币： 284 活跃值： (106) 能力值： ( LV9，RANK：160 ) 在线值：发帖 24 回帖 187 粉丝 1 关注私信	鹿剑 3 13 楼支持，写个核心模块比较简单，一个完整工程就比较费心了…… 2009-12-17 12:12 0
ichina 雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 54 粉丝 0 关注私信	ichina 14 楼支持一下， 2009-12-17 13:08 0
mytchina 雪币： 66 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	mytchina 15 楼顶楼主,楼主加油 2009-12-17 14:52 0
fbbttfbb 雪币： 336 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	fbbttfbb 16 楼不错，学习，顶楼主。 2009-12-18 11:15 0
chenjun 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 113 粉丝 0 关注私信	chenjun 17 楼学习贴建议关注啊 2009-12-18 21:36 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 18 楼有代码有doc的，支持楼主 2009-12-19 09:23 0
末日雪币： 431 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 147 粉丝 0 关注私信	末日 19 楼下载看看正在学驱动 2009-12-20 00:59 0
KeyKernel 雪币： 1040 活跃值： (41) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 98 粉丝 0 关注私信	KeyKernel 1 20 楼友情支持。。。 2009-12-20 16:49 0
zyr零零发雪币： 808 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 330 粉丝 0 关注私信	zyr零零发 1 21 楼分析的很好的，楼主努力！ 2009-12-20 16:53 0
zyr零零发雪币： 808 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 330 粉丝 0 关注私信	zyr零零发 1 22 楼学习了，楼主努力下，写出更好的。 2009-12-22 08:50 0
zuike 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	zuike 23 楼学习了。加油 2009-12-22 10:03 0
寂寞羽毛雪币： 342 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 80 粉丝 0 关注私信	寂寞羽毛 1 24 楼报告一下 bug，在任务管理器中虽然不可以结束进程，但可以用 ntsd 结束，但结束后，所有进程都打不开了, 2009-12-22 10:43 0
hljleo 雪币： 564 活跃值： (42) 能力值： ( LV12，RANK：230 ) 在线值：发帖 13 回帖 130 粉丝 2 关注私信	hljleo 5 25 楼报告一下 bug，在任务管理器中虽然不可以结束进程，但可以用 ntsd 结束，但结束后，所有进程都打不开了, 恩，，因为进程本身只是做了比较浅的保护，所以很多工具都可以结束本进程，进程被结束了，但是驱动还没有被卸载，，所以一旦打开进程，，驱动得不到用户的响应，，这个时候就打不开了。。。。。。 2009-12-22 11:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hljleo

发帖

130

回帖

230

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (56) 1 2 3 ▶
飞心男孩雪币： 300 活跃值： (179) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 137 粉丝 1 关注私信	飞心男孩 2 2 楼纯友情支持。看成是 “智能主动防御”了～～～ 2009-12-16 19:56 0
hystat 雪币： 188 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 134 粉丝 0 关注私信	hystat 3 楼好的，支持楼主 2009-12-16 19:58 0
默数悲伤雪币： 297 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 10 回帖 130 粉丝 0 关注私信	默数悲伤 6 4 楼首先顶一下：）主动防御对用户的技术水平要求很高。这个山寨版的看起来似乎要求更高啦。此外似乎该支持恶意行为的拦截。这似乎才是主动防御的灵魂所在。 2009-12-16 20:05 0
chenjun 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 113 粉丝 0 关注私信	chenjun 5 楼这是个hips 雏形？ 2009-12-16 20:28 0
kuang110 雪币： 89 活跃值： (185) 能力值： ( LV9，RANK：270 ) 在线值：发帖 18 回帖 338 粉丝 0 关注私信	kuang110 6 6 楼适合学习，界面少了点。呵呵 2009-12-17 08:19 0
xicao 雪币： 243 活跃值： (169) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 113 粉丝 0 关注私信	xicao 7 楼动作序列化拦截 2009-12-17 08:57 0
cschenhui 雪币： 290 活跃值： (20) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 116 粉丝 0 关注私信	cschenhui 8 楼这叫主动防御？ 2009-12-17 09:25 0
xhackx 雪币： 220 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	xhackx 1 9 楼楼主当拦截进程创建之后是否会报错？ 2009-12-17 11:06 0
编程小猪雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	编程小猪 10 楼先看看，谢谢啦 2009-12-17 11:15 0
dnybz 雪币： 66 活跃值： (830) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 11 楼纯友情支持 2009-12-17 11:31 0
niuhacker 雪币： 133 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 107 粉丝 0 关注私信	niuhacker 12 楼支持一下，多谢楼主！ 2009-12-17 11:33 0
鹿剑雪币： 284 活跃值： (106) 能力值： ( LV9，RANK：160 ) 在线值：发帖 24 回帖 187 粉丝 1 关注私信	鹿剑 3 13 楼支持，写个核心模块比较简单，一个完整工程就比较费心了…… 2009-12-17 12:12 0
ichina 雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 54 粉丝 0 关注私信	ichina 14 楼支持一下， 2009-12-17 13:08 0
mytchina 雪币： 66 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	mytchina 15 楼顶楼主,楼主加油 2009-12-17 14:52 0
fbbttfbb 雪币： 336 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	fbbttfbb 16 楼不错，学习，顶楼主。 2009-12-18 11:15 0
chenjun 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 113 粉丝 0 关注私信	chenjun 17 楼学习贴建议关注啊 2009-12-18 21:36 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 18 楼有代码有doc的，支持楼主 2009-12-19 09:23 0
末日雪币： 431 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 147 粉丝 0 关注私信	末日 19 楼下载看看正在学驱动 2009-12-20 00:59 0
KeyKernel 雪币： 1040 活跃值： (41) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 98 粉丝 0 关注私信	KeyKernel 1 20 楼友情支持。。。 2009-12-20 16:49 0
zyr零零发雪币： 808 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 330 粉丝 0 关注私信	zyr零零发 1 21 楼分析的很好的，楼主努力！ 2009-12-20 16:53 0
zyr零零发雪币： 808 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 330 粉丝 0 关注私信	zyr零零发 1 22 楼学习了，楼主努力下，写出更好的。 2009-12-22 08:50 0
zuike 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	zuike 23 楼学习了。加油 2009-12-22 10:03 0
寂寞羽毛雪币： 342 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 80 粉丝 0 关注私信	寂寞羽毛 1 24 楼报告一下 bug，在任务管理器中虽然不可以结束进程，但可以用 ntsd 结束，但结束后，所有进程都打不开了, 2009-12-22 10:43 0
hljleo 雪币： 564 活跃值： (42) 能力值： ( LV12，RANK：230 ) 在线值：发帖 13 回帖 130 粉丝 2 关注私信	hljleo 5 25 楼报告一下 bug，在任务管理器中虽然不可以结束进程，但可以用 ntsd 结束，但结束后，所有进程都打不开了, 恩，，因为进程本身只是做了比较浅的保护，所以很多工具都可以结束本进程，进程被结束了，但是驱动还没有被卸载，，所以一旦打开进程，，驱动得不到用户的响应，，这个时候就打不开了。。。。。。 2009-12-22 11:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复