首页
社区
课程
招聘
[更新]DarkSpy V1.0.3
发表于: 2006-4-9 23:16 6513

[更新]DarkSpy V1.0.3

2006-4-9 23:16
6513
DarkSpy V1.0.1 测试版 Copyright(C) 2005 CardMagic & wowocock

支持32位以下操作系统:

windows 2000 (sp4以后)
windows xp/2003
(测试版本只支持硬件环境为单CPU,非超线程非多核心的运行环境,新的硬件支持应会在稍后加入).


版本历史:

DarkSpy V1.0.3 测试版本 2006.4.18 12:38
修复了因DarkSpy与Kaspersky系列某些版本的冲突造成的系统崩溃。

DarkSpy V1.0.2 测试版本 2006.4.11 10:11
修复了部分在windows 2000环境下对异常进程判断能力
修复了windows 2000环境下错乱进程的显示问题

DarkSpy V1.0.1 测试版本 2005.4.7 15:53 
修复了部分windows 2000 sp4用户出现无法加载的异常。 
增加了多核心检测,防止非支持硬件产生系统崩溃。 


一.关于DarkSpy :

  DarkSpy是工作在Win NT系统上的一款基于X-view检测的
Anti-Rootkit工具,也是CardMagic与wowocock实习和工作之
余的作品。DarkSpy能够检测系统隐藏元素,特别一些目前为
止可以躲过Blacklight/Icesword的Rootkit(如FUTo等)。  
  DarkSpy V1.0是免费软件,这意味着您可以随意的使用和
传播。但作者本人对使用该软件产生的一切后果不担负责任。
  
二.关于DarkSpy内核引擎:
  
DarkSpy V1.x 内核引擎分为三个版本:
1)测试版本(引擎V1.0):即目前使用的引擎。
2)正式版本(引擎V1.1):基于V1.0,并在使用建议的基础上进行完善的引擎。
3)内部版本(引擎V1.x.0):使用新的引擎架构,内部技术交流验证使用。

三.DarkSpy V1.0 测试版本基本功能:

1)进程:

   枚举隐藏进程,提供普通杀除/强制杀除功能。
    枚举部分目前可以枚举FUTo等新后门的隐藏进
   程。强制杀除功能,可以杀除包括Icesword等
   采用防杀保护技术的进程。但是由于强制杀除
   功能比较霸道,对于某些不稳定进程进行强杀
   时会造成崩溃。建议一般采用普通杀除。
    其中隐藏进程会用红色标出。

2)内核模块:
   
   枚举隐藏模块。(如FUTo隐藏的模块)
    其中隐藏模块会用红色标出。

3)文件:
  
   隐藏文件与隐藏目录显示/强制文件拷贝/强
   制删除。

4)注册表:

   目前测试版本只提供功能预览。

5)端口:

   显示隐藏端口等信息。

四.软件Bug:

  有Bug请告诉我们:
  请发邮件: sunmy1@sina.com,wowocock@hotmail.com
  或者到http://cardmagic.bokee.com留言。谢谢。


原帖链接:
http://bbs.zndev.com/htm_data/16/0604/108766.html

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (44)
雪    币: 343
活跃值: (611)
能力值: ( LV9,RANK:810 )
在线值:
发帖
回帖
粉丝
2
谢谢。这个对付流氓软件应该很有效了。
2006-4-9 23:33
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
t43 2668 cc3
运行-等待1分钟左右-直接蓝屏-自动重启-重进系统 赶紧Delete
2006-4-9 23:46
0
雪    币: 196
活跃值: (135)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
4
谢谢,希望在我这里能正常运行...
2006-4-9 23:48
0
雪    币: 2506
活跃值: (1030)
能力值: (RANK:990 )
在线值:
发帖
回帖
粉丝
5
我也是直接蓝屏重启,系统为XP_SP2。应该是用了驱动的原因。下面是WinDBG分析结果:
FAULTING_MODULE: 804d5000 nt

DEBUG_FLR_IMAGE_TIMESTAMP:  44347209

READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
e411d4c4

FAULTING_IP:
DarkSpyKernel+71e6
f3c001e6 8b3c10           mov     edi,[eax+edx]

MM_INTERNAL_CODE:  2

CUSTOMER_CRASH_COUNT:  1

DEFAULT_BUCKET_ID:  DRIVER_FAULT

BUGCHECK_STR:  0x50

LAST_CONTROL_TRANSFER:  from 00000000 to f3c001e6

STACK_TEXT:  
f9e85018 00000000 00000000 00000000 00000000 DarkSpyKernel+0x71e6

STACK_COMMAND:  .bugcheck ; kb

FOLLOWUP_IP:
DarkSpyKernel+71e6
f3c001e6 8b3c10           mov     edi,[eax+edx]

FAULTING_SOURCE_CODE:  

SYMBOL_STACK_INDEX:  0

FOLLOWUP_NAME:  MachineOwner

SYMBOL_NAME:  DarkSpyKernel+71e6

MODULE_NAME:  DarkSpyKernel

IMAGE_NAME:  DarkSpyKernel.sys

BUCKET_ID:  WRONG_SYMBOLS

Followup: MachineOwner
2006-4-10 00:08
0
雪    币: 329
活跃值: (343)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
6
去原帖报告BUG吧。
2006-4-10 00:14
0
雪    币: 329
活跃值: (343)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
7
当然用驱动了。对了。装了SOFTICE不要用它。它对调试器做了处理的。
2006-4-10 00:16
0
雪    币: 2506
活跃值: (1030)
能力值: (RANK:990 )
在线值:
发帖
回帖
粉丝
8
我系统重灌不久,SoftICE 还没装。应该不是这方面的问题,还是驱动在作怪。
2006-4-10 00:21
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
我也是直接蓝屏重启,系统为XP_SP2
2006-4-10 00:59
0
雪    币: 124
活跃值: (70)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
10
我这里ok,win2ksp4,win2ksp2,2个系统
2006-4-10 01:55
0
雪    币: 196
活跃值: (135)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
11
我这里WIN2K SP4没问题,,
2006-4-10 03:09
0
雪    币: 343
活跃值: (611)
能力值: ( LV9,RANK:810 )
在线值:
发帖
回帖
粉丝
12
还好我的机器没跑起来
2006-4-10 10:25
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
你把我重启了 W2K UO2
2006-4-10 10:44
0
雪    币: 184
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
晕了,我XPSP2玩不起.运行后没蓝,只是硬盘响的厉害......
2006-4-10 11:43
0
雪    币: 234
活跃值: (104)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
好工具,就是还不稳定。
2006-4-10 19:51
0
雪    币: 217
活跃值: (15)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
16
试一下!:)
2006-4-10 21:41
0
雪    币: 217
活跃值: (15)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
17
,有了注册表功能就爽了
2006-4-11 10:16
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
win2003,还没重启,目前可以运行。
2006-4-11 10:34
0
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
19
又是科技大学的,呵呵
和pjf是同学吧
2006-4-11 11:11
0
雪    币: 217
活跃值: (15)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
20
,那里都是kernal级的人物啊
2006-4-11 18:52
0
雪    币: 603
活跃值: (617)
能力值: ( LV12,RANK:660 )
在线值:
发帖
回帖
粉丝
21
这类工具稳定性比较重要,在这个方面还是IceSword做的强啊。
2006-4-11 19:05
0
雪    币: 220
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
估计不可能是同学
知道pjf是多少年前的事了,pjf还是个"同学"?
IceSword出来不少时日了,如今这些技术都烂了,在幻影也看到过类似的
工具,基本都是模仿型的。真想搞全那些市面上没有的版本
2006-4-11 20:46
0
雪    币: 301
活跃值: (300)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
23
我用的W2K_sp4,正常工作。
支持
2006-4-12 08:02
0
雪    币: 236
活跃值: (74)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
win2003无SP,重启
2006-4-12 08:47
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
感谢分享 绝对支持
2006-4-13 18:22
0
游客
登录 | 注册 方可回帖
返回
//