-
-
[原创]Gama-Ray 1.0 Rootkit&&Bootkit检测清除工具
-
-
[原创]Gama-Ray 1.0 Rootkit&&Bootkit检测清除工具
Gama-Ray 1.0 是一款通用的Rootkit和Bootkit检测清除工具,主要使用技术为重载磁盘端口驱动,自建I/O通道,支持atapi/scsiport/storport/ataport四种主要类型端口驱动,并区分IRP处理函数和StartIO处理函数实现不同的IRP(SRB)请求。
1.0版本为原型版本,病毒特征积累不多,目前主要检测清除对象包括(全是bootkit和文件感染型rootkit,暂时不包括独立型rootkit):
Rootkit.Boot.Phanta.b
Rootkit.Win32.TDSS.tdl4
Rootkit.Boot.Cidox.a
Rootkit.Boot.Xpaj.a
Rootkit.Boot.Yurn.a
Rootkit.Boot.Geth.a
Rootkit.Boot.CPD.b
Rootkit.Win32.TDSS.tdl3 (测试过部分变种)
Virus. Win32.ZAccess (测试过部分变种,不包括usermode变种)
也许包括(没有样本验证,但有被感染过的MBR/VBR/IPL bin,所以有特征提取):
Rootkit.Boot.Sinowal.b
Rootkit.Boot.Wistler.a
Rootkit.Boot.Sinowal.a
Rootkit.Boot.Trup.b
Rootkit.Boot.Phanta.a
Rootkit.Boot.Phanta.c
Rootkit.Boot.Stoned.a
Rootkit.Boot.SST.a
Rootkit.Boot.SST.b
Rootkit.Boot.Pihar.a
Rootkit.Boot.Nimnul.a
Rootkit.Boot.Backboot.a
Rootkit.Boot.Pihar.b
Rootkit.Boot.Cidox.b
Trojan-Ransom.Boot.Mbro.d
Rootkit.Boot.CPD.a
Rootkit.Boot.Plite.a
Rootkit.Boot.Qvod.a
Rootkit.Boot.Smitnyl.a
Rootkit.Boot.Harbinger.a
还包括:
可疑启动扇区
可疑系统核心文件
另外,1.0版本目前只支持以下平台(基于BIOS MBR Style):
a. XP 32 bit
b. Windows 2003 32 bit
c. Vista SP1/SP2 32 bit
d. Win7 SP0/SP1 32 bit
e. Win8 32 bit
64bit以及新的OS将在下版本中添加。
欢迎大家使用Gama-Ray 1.0,有任何好的建议或者意见请联系我,可以直接回帖或者加入交流群:
Gama-Ray ARK 287012137
如果大家有兴趣,我会在交流群里分享更多病毒查杀技术细节以及现有或未来的病毒分析报告等等。
欢迎大家加入群一起学习windows内核安全,逆向分析技术,rootkit && bookit的检测和清除,新型病毒(uefi bootkit/usermode rootkit/ransonware等等)的研究,行业交流等等。
在tool的使用过程中,任何误报或者未检测case,都欢迎大家提供检测报告/可疑文件,真诚的感谢大家!
下载:
Gama-Ray 1.0.rar
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
