[分享]一款驱动级进程管理软件反黑辅助-安全工具-看雪-安全社区|安全招聘|kanxue.com

[分享]一款驱动级进程管理软件反黑辅助

发表于: 2006-7-25 11:37 6749

[分享]一款驱动级进程管理软件反黑辅助

cater

2006-7-25 11:37

6749

IceSworld，相信大家都知道 Pjf 的大作吧，
由于采用了 is 列举进程不够完美啊！
我朋友写的马儿轻松饶过了！
郁闷ing 的时候在幻影看到了 wangsea 大老的作品
syscheck 反黑辅助

适用了强，特此推荐！

syscheck 反黑辅助说明:

红色显示的是非系统的进程或文件，在各个管理页均可尝试选择后右键，有定位文件弹出菜单的，都可定位到该文件所在的位置。

1：进程管理页

syscheck允许你中止包括系统进程在内的所有进程，但不推荐你去中止第一个svchost.exe前的进程(包括第一个svchost.exe)。这样做的后果可能是导致系统重启或无法关机。

syscheck的进程管理页可列出win32级的隐藏进程，但不会特别标注它。对于此类隐藏进程所隐藏的目录，通过右键<定位文件>可直接进入其隐藏的目录。

现在很多程序通过注册全局钩子，注入系统进程Explorer.exe工作，你可以查看Explorer.exe的进程模块中红色显示的外部程序，以确定红色显示的模块是否都是你需要的。

一般来说，如果某个dll无法删除，一是该dll被某个进程加载；二是注入到了explorer中；三是进程之间互相监视。所以，对某个删除不了的dll文件，可以采用批量结束进程的方式（不会判断就选择 explorer.exe+其它的红色进程）。

由于进程的模块可能在进程使用中，所以卸载模块可能造成该进程的崩溃。这也是另一种杀进程的方式。

2：服务管理页

要注意的还是红色显示的内容，通过右键菜单选择查看该文件的属性，可以方便地找到第三方的服务程序。中止服务功能是仅在系统重启前中止服务，并不是永久性的中止服务。而删除服务则是删除服务键值(不提供删除前的保存。所以，要删除你得自已去确定是否真要这么做)。

值得注意的是，某些服务是无法中止或删除的(比如划词搜索的驱动服务)。因为其自身可能采用了注册表键值的保护。对付这类服务，要使用服务函数页中的ssdt恢复功能，才能删除其键值。

3:服务函数

还是以划词搜索为例(因为它的驱动交叉保护，自身的卸载与其它的卸载工具都不能删除hcalway.sys及abhcop.sys.sys文件，且卸载后这两个驱动还在运行中)，它的驱动采用注册表HOOK及文件HOOK，所以，你无法直接删除。Icesword也不能直接删除这两个文件(不信你在IcesWord中删除这两个文件后再刷新看一下。不过Icesword中可以在它的注册表工具中手动找到其服务项删除，然后重启，再删除这两个文件就可以了)。

对付这样的系统底层驱动，可在服务函数中找到其驱动文件（注意红色显示的内容，结合右键定位判断），勾选它们，然后恢复即可(大部份的杀软也注册有底层HOOK,如果你选择了它们，还原后至重启前这些杀软的实时监视将失效)。

恢复系统底层原始函数地址后，就可以在服务管理页删除划词搜索的注册表服务项了（恢复前由于受其驱动abhcop.sys的保护，是无法删除其注册的服务项）。然后重启机器，就可以直接删除这两个文件了。之所以要重启，是因为该驱动未提供中止功能，无法中止。系统无法删除一个运行中的文件。

要注意的是,在服务函数中恢复了被HOOK的函数,并删除了其服务键，重启机器前，可以再切换到<进程管理页>及<IE检测页>，查看是否多出了一些被隐藏的内容，或者是先前不能删除的启动项现在可以再做删除处理。（划词搜索在Program Files目录下的文件现在就可以删除了,因为其驱动保护已经失效。如果此时某些文件删不掉，则可能是你还未在进程页结束划词的Win32进程,可参见1处理）

另外，如果您安装有本人的另一作品<系统安全盾>，请在使用syscheck前暂停一下监视，否则syscheck的服务函数功能将不能使用。

其它的就不多说了，一般来说都很易用，我想对于聪明的您来说绝对不存在问题。

wangsea
email:wang6071@sina.com
2006年7月3日

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

syscheck(1[2].0.0.6)0720.rar （503.66kb，60次下载）

收藏・1

免费・0

支持

最新回复 (36) 1 2 ▶
cater 雪币： 109 活跃值： (498) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 2 楼对了作者的空间是 wangsea.ys168.com 2006-7-25 11:38 0
fffddd 雪币： 239 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 37 回帖 447 粉丝 1 关注私信	fffddd 3 楼驱动级的？不敢用。 2006-7-25 12:46 0
deanlh 雪币： 242 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 387 粉丝 1 关注私信	deanlh 4 楼试试看。。。 2006-7-25 15:21 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 5 楼谢谢试用一下 2006-7-25 16:13 0
hymm2003 雪币： 238 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 107 粉丝 0 关注私信	hymm2003 6 楼支持?主　　　　 2006-7-25 16:56 0
loveaixing 雪币： 86 活跃值： (838) 能力值： ( LV3，RANK：20 ) 在线值：发帖 29 回帖 185 粉丝 1 关注私信	loveaixing 7 楼非常好用，谢谢 2006-7-25 18:14 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 8 楼每天被无数灰鸽子搞得欲仙欲死， cracker们还是不要破解了，谁愿意用谁自己去破解。 2006-7-25 18:49 0
girl 雪币： 214 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 289 粉丝 0 关注私信	girl 1 9 楼低调 2006-7-25 19:26 0
fffddd 雪币： 239 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 37 回帖 447 粉丝 1 关注私信	fffddd 10 楼最初由 forgot* 发布* 每天被无数灰鸽子搞得欲仙欲死， cracker们还是不要破解了，谁愿意用谁自己去破解。言下之意是不是他的这个程序里夹带得有灰鸽子？ 2006-7-25 20:31 0
basaiyv1 雪币： 420 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 318 粉丝 1 关注私信	basaiyv1 11 楼楼主厉害 2006-7-25 21:48 0
cater 雪币： 109 活跃值： (498) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 12 楼最初由 forgot* 发布* 每天被无数灰鸽子搞得欲仙欲死， cracker们还是不要破解了，谁愿意用谁自己去破解。我也是的，现在也不破鸽子了！呵呵～这款工具上的站点上面有相关杀鸽子的方法呵呵~ forgot 给你野猪力量 2006-7-25 22:05 0
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 13 楼最初由 forgot* 发布* 每天被无数灰鸽子搞得欲仙欲死， cracker们还是不要破解了，谁愿意用谁自己去破解。的确！今天在电脑里删除了467个wsock32.dll，垃圾东西，只要程序有这个DLL加载的，他就会到内存！反汇编了一下发现是魔兽等N种游戏木马！ 2006-7-25 23:06 0
berry 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 101 粉丝 0 关注私信	berry 14 楼怕怕，还是不碰了 2006-7-26 00:12 0
cater 雪币： 109 活跃值： (498) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 15 楼杀鸽子的方法参考作者的站点，清除鸽子方法是很简单的！其实 IceSWorld 已经被很多软件 Anti 了比如无花果之类木马阻止其驱动程序的释放达到 Anti 的效果了！不过这款软件好像可以很轻松的饶过去哦！ 2006-7-26 02:43 0
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 16 楼最初由 cater* 发布* 杀鸽子的方法参考作者的站点，清除鸽子方法是很简单的！其实 IceSWorld 已经被很多软件 Anti 了比如无花果之类木马 ........ 你没弄清楚什么叫anti，让程序不能运行不叫anti,你手工修改icesword让他换个驱动名无花果的木马就不能阻止了，其他的方法也一样可手工改。你提到的"anti"只不过是搞恶。 2006-7-27 11:11 0
cater 雪币： 109 活跃值： (498) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 17 楼最初由 guoke* 发布* 你没弄清楚什么叫anti，让程序不能运行不叫anti,你手工修改icesword让他换个驱动名无花果的木马就不能阻止了，其他的方法也一样可手工改。你提到的"anti"只不过是搞恶。谢谢 guoke 提点我理解 anti 就是一种对抗性质的手段原来不是哦谢谢！ 2006-7-27 11:51 0
仙剑太郎雪币： 214 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 242 粉丝 0 关注私信	仙剑太郎 2 18 楼现在的流氓软件搞到驱动级了... 2006-7-27 13:44 0
firstrose 雪币： 390 活跃值： (707) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 938 粉丝 6 关注私信	firstrose 16 19 楼问题是这个软件根本无法运行。一闪就退出我用is和darkspy检查过系统的，没有异常。 2006-7-27 18:00 0
ytok 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 94 粉丝 1 关注私信	ytok 20 楼这东东好是好，就是兼容性不太好，动不动就蓝屏，用怕了。 2006-7-27 18:55 0
cater 雪币： 109 活跃值： (498) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 21 楼最初由 firstrose* 发布* 问题是这个软件根本无法运行。一闪就退出我用is和darkspy检查过系统的，没有异常。我 win XP Sp2 运行好好的~ 2006-7-27 21:49 0
yijing 雪币： 114 活跃值： (328) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 0 关注私信	yijing 22 楼 very good useful tool~ let me to check my system 2006-7-27 22:21 0
firstrose 雪币： 390 活跃值： (707) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 938 粉丝 6 关注私信	firstrose 16 23 楼最初由 cater* 发布* 我 win XP Sp2 运行好好的~ 我是2k sp4 2006-7-28 08:22 0
MIC 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	MIC 24 楼 win2k adv server sp4启动报错. 2006-7-28 15:00 0
fanrrr 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	fanrrr 25 楼好东西,顶~~~~~~~~~~~~ 2006-7-28 15:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cater

发帖

415

回帖

220

RANK

关注

私信

他的文章

听说IDA Pro 9.0 Beta for Mac Intel的版本运行有报错 3542
[原创]CrackMe 7325
OD插件集合 40567
[下载]Zynamics.BinDiff.v4.0.1.Incl.Keyfilemaker.and.Patch-EMBRACE 9459
[原创]Symbian_Remote_Debugger_With_IDA 12443

关于我们

联系我们

企业服务

看雪公众号

最新回复 (36) 1 2 ▶
cater 雪币： 109 活跃值： (498) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 2 楼对了作者的空间是 wangsea.ys168.com 2006-7-25 11:38 0
fffddd 雪币： 239 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 37 回帖 447 粉丝 1 关注私信	fffddd 3 楼驱动级的？不敢用。 2006-7-25 12:46 0
deanlh 雪币： 242 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 387 粉丝 1 关注私信	deanlh 4 楼试试看。。。 2006-7-25 15:21 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 5 楼谢谢试用一下 2006-7-25 16:13 0
hymm2003 雪币： 238 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 107 粉丝 0 关注私信	hymm2003 6 楼支持?主　　　　 2006-7-25 16:56 0
loveaixing 雪币： 86 活跃值： (838) 能力值： ( LV3，RANK：20 ) 在线值：发帖 29 回帖 185 粉丝 1 关注私信	loveaixing 7 楼非常好用，谢谢 2006-7-25 18:14 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 8 楼每天被无数灰鸽子搞得欲仙欲死， cracker们还是不要破解了，谁愿意用谁自己去破解。 2006-7-25 18:49 0
girl 雪币： 214 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 289 粉丝 0 关注私信	girl 1 9 楼低调 2006-7-25 19:26 0
fffddd 雪币： 239 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 37 回帖 447 粉丝 1 关注私信	fffddd 10 楼最初由 forgot* 发布* 每天被无数灰鸽子搞得欲仙欲死， cracker们还是不要破解了，谁愿意用谁自己去破解。言下之意是不是他的这个程序里夹带得有灰鸽子？ 2006-7-25 20:31 0
basaiyv1 雪币： 420 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 318 粉丝 1 关注私信	basaiyv1 11 楼楼主厉害 2006-7-25 21:48 0
cater 雪币： 109 活跃值： (498) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 12 楼最初由 forgot* 发布* 每天被无数灰鸽子搞得欲仙欲死， cracker们还是不要破解了，谁愿意用谁自己去破解。我也是的，现在也不破鸽子了！呵呵～这款工具上的站点上面有相关杀鸽子的方法呵呵~ forgot 给你野猪力量 2006-7-25 22:05 0
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 13 楼最初由 forgot* 发布* 每天被无数灰鸽子搞得欲仙欲死， cracker们还是不要破解了，谁愿意用谁自己去破解。的确！今天在电脑里删除了467个wsock32.dll，垃圾东西，只要程序有这个DLL加载的，他就会到内存！反汇编了一下发现是魔兽等N种游戏木马！ 2006-7-25 23:06 0
berry 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 101 粉丝 0 关注私信	berry 14 楼怕怕，还是不碰了 2006-7-26 00:12 0
cater 雪币： 109 活跃值： (498) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 15 楼杀鸽子的方法参考作者的站点，清除鸽子方法是很简单的！其实 IceSWorld 已经被很多软件 Anti 了比如无花果之类木马阻止其驱动程序的释放达到 Anti 的效果了！不过这款软件好像可以很轻松的饶过去哦！ 2006-7-26 02:43 0
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 16 楼最初由 cater* 发布* 杀鸽子的方法参考作者的站点，清除鸽子方法是很简单的！其实 IceSWorld 已经被很多软件 Anti 了比如无花果之类木马 ........ 你没弄清楚什么叫anti，让程序不能运行不叫anti,你手工修改icesword让他换个驱动名无花果的木马就不能阻止了，其他的方法也一样可手工改。你提到的"anti"只不过是搞恶。 2006-7-27 11:11 0
cater 雪币： 109 活跃值： (498) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 17 楼最初由 guoke* 发布* 你没弄清楚什么叫anti，让程序不能运行不叫anti,你手工修改icesword让他换个驱动名无花果的木马就不能阻止了，其他的方法也一样可手工改。你提到的"anti"只不过是搞恶。谢谢 guoke 提点我理解 anti 就是一种对抗性质的手段原来不是哦谢谢！ 2006-7-27 11:51 0
仙剑太郎雪币： 214 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 242 粉丝 0 关注私信	仙剑太郎 2 18 楼现在的流氓软件搞到驱动级了... 2006-7-27 13:44 0
firstrose 雪币： 390 活跃值： (707) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 938 粉丝 6 关注私信	firstrose 16 19 楼问题是这个软件根本无法运行。一闪就退出我用is和darkspy检查过系统的，没有异常。 2006-7-27 18:00 0
ytok 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 94 粉丝 1 关注私信	ytok 20 楼这东东好是好，就是兼容性不太好，动不动就蓝屏，用怕了。 2006-7-27 18:55 0
cater 雪币： 109 活跃值： (498) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 21 楼最初由 firstrose* 发布* 问题是这个软件根本无法运行。一闪就退出我用is和darkspy检查过系统的，没有异常。我 win XP Sp2 运行好好的~ 2006-7-27 21:49 0
yijing 雪币： 114 活跃值： (328) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 0 关注私信	yijing 22 楼 very good useful tool~ let me to check my system 2006-7-27 22:21 0
firstrose 雪币： 390 活跃值： (707) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 938 粉丝 6 关注私信	firstrose 16 23 楼最初由 cater* 发布* 我 win XP Sp2 运行好好的~ 我是2k sp4 2006-7-28 08:22 0
MIC 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	MIC 24 楼 win2k adv server sp4启动报错. 2006-7-28 15:00 0
fanrrr 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	fanrrr 25 楼好东西,顶~~~~~~~~~~~~ 2006-7-28 15:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[分享]一款驱动级进程管理软件 反黑辅助

[分享]一款驱动级进程管理软件反黑辅助