能力值:
( LV2,RANK:10 )
|
-
-
2 楼
软件名:DChecker(类似IceSword和DarkSpy)
开发第一个版本:0.1 Checked Build with Symbol
第一个正式版:1.0 Release Build
软件预期功能:
一、进程管理
1.进程枚举
通过PspCidTable枚举,通过KPCR枚举线程然后获取进程(希望高手给我些KPCR的资料,我手头资料实在太少,0.2版本实现),通过csrss枚举(这个打算在1.0版本中实现)
2.进程删除
暂时使用NtTerminateProcess实现(希望再给些方法)
3.进程Suspend和Resume(0.2版本实现)
暂时使用NtSuspendThread(有没有SuspendProcess?),NtResumeThread
4.枚举模块(1.0版本实现)
暂时使用EPEB枚举
5.枚举线程
从EPEB枚举
二、线程管理
基本与进程管理相同,就是枚举通过KPCR
三、文件管理(期望在0.2版本实现)
1.文件创建以及Hex和AscII改写(期望在1.0版本中开发)
2.文件删除
3.文件拷贝
四、注册表管理(期望在1.2版本及以后版本实现)
五、SSDT管理(期望在0.2版本实现)
1.SSDT枚举
2.SSDT修改(期望在1.0版本以后实现,而且提醒用户危险)
3.SSDT恢复(期望在1.2版本以后实现)
暂时这些
Shell版本下载:http://www.live-share.com/files/146495/DChecker.rar.html
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
完成所有编写还要许多时间,现在完成线程枚举的Shell(我还没有作列表)(省事)
|
能力值:
( LV12,RANK:370 )
|
-
-
4 楼
按照自己的想法做。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
压缩包有问题,不能解压
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
再加上服务管理吧。
|
能力值:
( LV9,RANK:250 )
|
-
-
7 楼
借楼主宝地用下:
偶想做个进程行为分析器。
运行一个进程,可以记录下用户想知道的进程的一些行为:
比如创建了哪些文件,
创建了几个线程,
写了哪些注册表键,
往哪儿发送了数据等等。。。
不知道有木有用?
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
最初由 默数悲伤 发布
借楼主宝地用下:
偶想做个进程行为分析器。
运行一个进程,可以记录下用户想知道的进程的一些行为:
比如创建了哪些文件,
........
你能想到的都有用:)
|
能力值:
![]()
(RANK:1010 )
|
-
-
9 楼
最初由 默数悲伤 发布
借楼主宝地用下:
偶想做个进程行为分析器。
运行一个进程,可以记录下用户想知道的进程的一些行为:
比如创建了哪些文件,
........
你可以先作一个需求分析
比如参考一些杀毒软件之类的,分析下他们对进程的信息的分析,
目标是为了干什么,对于用户来说有什么好处
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
主要喜欢有代码开源就好了... 
|
能力值:
( LV9,RANK:250 )
|
-
-
11 楼
最初由 北极星2003 发布
你可以先作一个需求分析
比如参考一些杀毒软件之类的,分析下他们对进程的信息的分析,
目标是为了干什么,对于用户来说有什么好处
有几个原因吧:
比如说,网上下了个安装程序包,不放心啊(上次下了一个,大小也差不多,就直接运行了,结果我的系统盘下接着装了一堆各种插件啊,流软啊。。),拿起程序起来在虚拟机中跑下,看看些关键API(OpenProcess, WriteProcessMemory,SuspendThread,SetThreadContext,RegOpenKey,RegSetKeyVlaue,CreateFile,MapViewOfFile,WriteFile,CreateRemoteThread,NtOpenSection,send,receive,bind等等)运行了,具体的参数怎么样,比如通过\device\physicalmemeory修改IDT,GDT,SSDT,以及系统服务本身等。获取其object句柄,再获取其名字,判断下就知道拉。
再一个重要的原因,省去脱壳的烦恼。尤其是做病毒提取和分析的。国内一些杀毒厂商在一个新病毒之前的反应速度(从获取样本,再到行为分析,提取特征玛,提交病毒库)往往落后于一些国外知名杀软。从这一点来说,这个程序应该有一点用处。
此外,希望还有其他用途。
|
|
|
|
