-
-
[原创]监控木马的小驱动
-
发表于: 2013-4-29 14:07
-
写了一个监控系统加载镜像的小玩意
以后安装完系统后自己做一个白名单,除了白名单的东东外,一概禁用!
妈妈再也不担心我上黄网中木马了
一、系统要求
windows2003、XP,32位
二、测试步骤
1、copy img_monitor.sys到c盘根目录
2、copy mon_settings.ini到c:\windows目录
3、启动start32.bat启动驱动
4、配置文件
LOG_LEVEL = 0
使用默认检查规则检查系统文件,如果检查未通过,则拒绝加载该文件
LOG_LEVEL = 1
除黑白名单外使用规则外,只记录加载的文件
ONLY_WLIST = 1
只允许白名单中的文件加载,其余均禁止
[WLIST]白名单
[BLIST]黑名单
5、日志文件在c:\windows\mon_log.log
三、注意事项
1、建议LOG_LEVEL = 1重启一遍,得到一次启动加载文件白名单快照,添加到[WLIST]
然后再开启ONLY_WLIST = 1,此时百毒不侵
2、配置文件修改重启生效
3、卸载驱动
sc stop img_monitor
sc delete img_monitor
参考代码:
http://bbs.pediy.com/showthread.php?t=165694
http://bbs.pediy.com/showthread.php?t=170454
release.zip
以后安装完系统后自己做一个白名单,除了白名单的东东外,一概禁用!
妈妈再也不担心我上黄网中木马了
一、系统要求
windows2003、XP,32位
二、测试步骤
1、copy img_monitor.sys到c盘根目录
2、copy mon_settings.ini到c:\windows目录
3、启动start32.bat启动驱动
4、配置文件
LOG_LEVEL = 0
使用默认检查规则检查系统文件,如果检查未通过,则拒绝加载该文件
LOG_LEVEL = 1
除黑白名单外使用规则外,只记录加载的文件
ONLY_WLIST = 1
只允许白名单中的文件加载,其余均禁止
[WLIST]白名单
[BLIST]黑名单
5、日志文件在c:\windows\mon_log.log
三、注意事项
1、建议LOG_LEVEL = 1重启一遍,得到一次启动加载文件白名单快照,添加到[WLIST]
然后再开启ONLY_WLIST = 1,此时百毒不侵
2、配置文件修改重启生效
3、卸载驱动
sc stop img_monitor
sc delete img_monitor
参考代码:
http://bbs.pediy.com/showthread.php?t=165694
http://bbs.pediy.com/showthread.php?t=170454
release.zip
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
 谢谢。下来学习下~
|
