-
-
[分享]新的ROOKIT检测工具以及全套源码!
-
发表于: 2009-8-13 17:37
-
新的ROOKIT检测工具以及全套源码!
下载
http://www.titilima.cn/attachment.php?id=93
4.05这个版本纯属例行更新。本想积攒一些功能再发布的,无奈俗事缠身,于是权且发了这个9月就已经编译好的版本。主要改动有两点,都是用户体验上的:
定位文件功能打开的资源管理器能够聚焦至文件上。欲知详情可参考explorer.exe的/select参数,我还是使用SSM拦截QQ得到的这一信息。
左边的进程视图不再闪了,不闪的才是健康的。欲知详情请参考《系统图像列表》一文,感谢原作者James Brown。
由于改动极少,所以这个版本只发布了July.exe,替换4.04的同名文件就可以了。这也是July版本4的最后一个版本(网友真千里建议把下一个版本改为5.00,在此采用他的方案),哪位朋友有兴趣就把这个exe和4.04的其他文件打包在一起放出个完整的4.05 Final吧,呵呵。
----------传说中的分隔线----------
下面贴两张图,名为“Las Ventas”的rootkit简易检测工具,这个工具使用了July v5.00将要使用的驱动。
第一张图,对隐藏进程的检测。(VMwareTray.exe用fu_rootkit做了断链处理)
第二张图,对SSDT表的检测。
源码:
http://www.titilima.cn/attachment.php?id=91
下载
http://www.titilima.cn/attachment.php?id=93
4.05这个版本纯属例行更新。本想积攒一些功能再发布的,无奈俗事缠身,于是权且发了这个9月就已经编译好的版本。主要改动有两点,都是用户体验上的:
定位文件功能打开的资源管理器能够聚焦至文件上。欲知详情可参考explorer.exe的/select参数,我还是使用SSM拦截QQ得到的这一信息。
左边的进程视图不再闪了,不闪的才是健康的。欲知详情请参考《系统图像列表》一文,感谢原作者James Brown。
由于改动极少,所以这个版本只发布了July.exe,替换4.04的同名文件就可以了。这也是July版本4的最后一个版本(网友真千里建议把下一个版本改为5.00,在此采用他的方案),哪位朋友有兴趣就把这个exe和4.04的其他文件打包在一起放出个完整的4.05 Final吧,呵呵。
----------传说中的分隔线----------
下面贴两张图,名为“Las Ventas”的rootkit简易检测工具,这个工具使用了July v5.00将要使用的驱动。
第一张图,对隐藏进程的检测。(VMwareTray.exe用fu_rootkit做了断链处理)
第二张图,对SSDT表的检测。
源码:
http://www.titilima.cn/attachment.php?id=91
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
收下,先学习
|
