| 词条 | A盾电脑防护 |
| 释义 | 1:关于“A盾电脑防护”的设计思想是,作为一款anti-rootkit软件,“A盾电脑防护”的清理目标定位是rootkit, 所以“A盾电脑防护”使用了比rootkit更流氓,更主动的方式来检查rootkit/virus,正好验证了一句话: 要对付流氓,就要用比流氓更为流氓的方法,因此使用了大量内核技术。由于时间匆忙,内核方面的功能都处于beta阶段, 所以在使用过程中,如果发生由本工具直接或者间接导致的问题,由使用者负责。: 支持系统:windows xp/2003/win7(32bit) 2:致谢dingking,莫为,影子,vxk,认真的雪,IThurricane,killer,sht,achillis,幻灵,强子,AlxDong,boywhp,bird/鸟总,cnhacker_root 核北/恒,CN_Tink,乱码,Dzer0,HK_King宝,战狼,啊虫,豹纹咪,浪子燕青,Hillwah,ROBIN,KiDebug,漏网之鱼 3:颜色说明SSDT ->粉红色为当前函数被挂钩 ShadowSSDT ->粉红色为当前函数被挂钩 内核模块 ->粉红色为当前内核模块文件被删除/褐色为无法验证当前内核模块文件的MD5是否原生系统文件 内核hook ->粉红色为当前函数被挂钩 内核线程 ->粉红色为创建线程的模块非系统原生文件 系统线程 ->粉红色为线程所在模块处于隐藏状态,一般正常模块是不会隐藏的,所以非常可疑 Object钩子 ->粉红色为当前函数被挂钩 ntfs/Fsd ->粉红色为当前函数被挂钩 键盘 ->粉红色为当前函数被挂钩 鼠标 ->粉红色为当前函数被挂钩 atapi ->粉红色为当前函数被挂钩 被动防御 ->粉红色为未知文件来源的启动模块或者进程 网络连接 ->褐色为当前tcp网络是处于连接状态 系统进程 ->粉红色为隐藏进程/褐色为无法验证当前内核模块文件的MD5是否原生系统文件 系统服务 ->粉红色为隐藏服务/褐色为当前服务是启动状态 4:驱动说明关于驱动被杀说明: 为了避免“A盾电脑防护”的驱动被rootkit作者逆向分析,所以打上VMProtect 因此“A盾电脑防护”启动的时候释放的驱动文件(%SystemRoot%\\A-Protect.sys和%SystemRoot%\\A-ProtectTcpSniffer.sys)可能被查杀, 那是因为杀毒软件杀的是VMProtect的附加代码~~ 5:更新历史2012-06-01 A盾电脑防护 v0.2.6 快乐儿童版: "A盾电脑防护 v0.2.6 快乐儿童版" MD5: 7C0F09FC29705A4D6CE67DF0078AEA01 SHA1: 8C34B0FC01E88AE3B29FBBF6F8F5BE697FA0BC0B CRC32: 32DFEDCD 新增: 1:数据监控 修复: 1:添加了进程图标 2:修复了win7(版本号为6.1.7000)枚举系统线程蓝屏问题 3:修复了win7(版本号为6.1.7000)枚举DPC定时器蓝屏问题 4:修复了win7(版本号为6.1.7000)枚举DLL模块的一个逻辑bug 5:修复了win7(版本号为6.1.7000)结束线程的一个bug 6:修复了win7(版本号为6.1.7000)枚举线程所在模块显示错误的bug 7:修复了win7(版本号为6.1.7000)枚举NTFS例程不正确的bug 8:修复了win7(版本号为6.1.7000)枚举键盘Kdbclass例程不正确的bug 9:修复了win7(版本号为6.1.7000)枚举鼠标Mouclass例程不正确的bug 10:修复了win7(版本号为6.1.7000)枚举网络Nsiproxy例程不正确的bug 11:修复了win7(版本号为6.1.7000)枚举系统回调蓝屏的bug 12:修复了NTFS,Kdbclass等一些路径显示不全的问题 13:修复了提示框标题 14:修复了获取win7系统版本代码逻辑的bug 15:修复了某些情况下获取进程路径不正确的bug,感谢 zhouws 的测试 16:优化了枚举进程线程的效率 17:增强了对系统内核模块的枚举 18:因为0.2.5版本已经开源,因此从0.2.6版本开始去掉对SDK(命令行)版本的支持 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-04-21 A盾电脑防护 v0.2.5: "A盾电脑防护 v0.2.5" MD5: CAF8A97A2DF4B103581AB783E8983A78 SHA1: 468D13FBAD50BF34F4E3B06FD7C12DAEDD4FB7C7 CRC32: 361A1FFD 新增: 1:查看进程线程 2:占用文件句柄 修复: 1:修复了界面的一个bug 2:修复了A-ProtectSDK的一些bug >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-04-17 A盾电脑防护 v0.2.4: "A盾电脑防护 v0.2.4" 版本MD5:7b84f691481f2e3ccdcb63fc065ec6f1 修复: 1:修复了枚举shadowSSDT时候挂载进程可能导致蓝屏的bug 2:修复了系统线程有可能造成蓝屏的bug 3:修复了win7下系统回调的一个bug //************************************** //上述bug感谢 漏网之鱼 的测试,泪奔ing。 //************************************** >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-04-11 A盾电脑防护 v0.2.3: "A盾电脑防护 v0.2.3" 版本MD5:bac2ea987dfb34c29bc79d49461ad66a 修复: 1:修复了DPC定时器模块路径显示不完整的bug 2:修复了系统回调模块路径显示不完整的bug 3:修复了DPC定时器win7下枚举的一个蓝屏bug >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-04-09 A盾电脑防护 v0.2.2: "A盾电脑防护 v0.2.2" 版本MD5:609e80e2ae8a514f61f7966f09044a47 新增: 1:DPC定时器的枚举与摘除 2:系统回调的枚举与摘除 3:键盘kdbclass,鼠标mouclass,atapi的dispatch hook枚举与摘除 4:由于3600safe名字较为山寨,因此更名为 3600safe ==> A盾电脑防护 修复: 1:修复了在进程退出后枚举进程模块的一个蓝屏BUG(主要是没有对进程是否退出做出正确判断导致) 2:修复了枚举进程DLL模块的一个蓝屏BUG //******************************************* //以上两个bug,感谢看雪论坛的KiDebug测试关注 //******************************************* 3:修复了若干bug >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-03-25 3600safe v0.2.1: "3600safe v0.2.1" 版本MD5:3b0f8ef24468f8459b1523ed71a333d3 修复: 1:修复几个界面的bug (感谢 ROBIN 提出,强子 的修改) 2:修复了更换界面之后枚举shadowSSDT的bug >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-03-25 3600safe v0.2: "3600safe v0.2" 版本MD5:b8853fc939b56519ebe12c2ab54fcf2d 修复: 1:修复Tcpview里面进程路径显示错误bug 2:修复系统线程状态显示错误bug 3:优化若干内核代码 4:更换了界面 --------------------------------> 特别感谢 L0g1n(强子),几乎所有界面代码都是他写的 5:兼容了QQ电脑管家 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-03-11 3600safe v0.1.9: "3600safe v0.1.9" 版本MD5:7c0b7d28dcaf7d7602a5ed762f54b9e9 新增: 1:开放3600safe SDK扩展"3600safeSDK.h",让有兴趣的人自己开发命令行版本 修复: 1:防御日志==>网络连接 部分进程名字显示乱码的问题 2:内核禁止多开 3:修复google浏览器不兼容问题 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-03-09 3600safe v0.1.8: "3600safe v0.1.8" 版本MD5:564733e0c4ac1f4ca101700a7176bc47 修复: 1:修复了进程路径,进程DLL模块路径部分显示错误的bug 2:优化了内核hook扫描 3:优化了结束进程代码 4:优化了枚举进程DLL模块代码 5:修复了自我保护代码的bug 6:优化了重启后防御日志逻辑 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-03-07 3600safe v0.1.7: "3600safe v0.1.7" 版本MD5:63ea8c92bc5f090364aa74164b411e85 修复: 1:修复获取系统服务描述出现乱码的bug (严重感谢 灰色羽翼 Hillwah的测试) 2:修复扫描系统服务有可能蓝屏的bug >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-03-06 3600safe v0.1.6: "3600safe v0.1.6" 版本MD5:ac5997642213a6bea277a57f4a45e85f 新增: 1:优化了启动界面 (严重感谢 豹纹咪 的PS) 修复: 1:修复扫描进程的时候一个可能造成蓝屏的bug (严重感谢 浪子燕青,Hillwah的测试) 2:修复部分机器下获取进程路径显示不正常的bug >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-03-06 3600safe v0.1.5: "3600safe v0.1.5" 版本MD5:d7cb09227fbbb2bd2283e4e5a78d169b 修复: 1:修复扫描进程的时候获取进程全路径的一个可能造成蓝屏的bug >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-03-04 3600safe v0.1.4: "3600safe v0.1.4" 版本MD5:ec674b48c72d1906eef527a0b19a44bc 新增: 1:增加了防御日志 ==> 系统服务创建或修改防御 修复: 1:修复网络连接的一个bug 2:去掉了保护文件的object hook 3:简单处理了一下object hook的二级跳扫描 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-03-02 3600safe v0.1.3: "3600safe v0.1.3" 版本MD5:e2eff9d47ae4361e3041aad4365d0eb7 修复: 1:修复内核HOOK扫描的一个bug >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-03-02 3600safe v0.1.2: "3600safe v0.1.2" 版本MD5:a59d0434c33e1f4d0194c77cb56c6bd7 修复: 1:优化隐藏进程扫描代码 2:优化修复导入表代码 3:修复枚举shadowSSDT的一个bug 4:修复若干界面逻辑 5:修复若干3600safe自身进程保护逻辑(默认不保护3600safe进程,只有注册开机启动或者用户点击保护的时候,才保护3600safe进程) 6:简单处理了一下内核HOOK扫描的二级扫描 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-02-24 3600safe v0.1.1: "3600safe v0.1.1" 版本MD5:c53c6567428b4c06720db6deb11f9754 新增: 启动界面 修复: 1:修复“深度服务扫描”时一个不人性化的清理方式(此bug导致啊虫重装系统,在此严重感谢 啊虫 的测试 T.T) 2:修复在修复重定位表时的一个bug >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-02-24 3600safe v0.1: "3600safe v0.1" 版本MD5:62797000b113e08f3d165bc7e0b6c577 新增: 内核Hook 增加了Eat Hook的枚举和摘除 内核线程 扫面内核线程 清空线程日志 系统线程 枚举系统线程 结束所选线程 其他: 增加了对%SystemRoot%\\system32\\wbem目录下的文件验证支持 释放的驱动改名为3600safe.sys方便辨认 修复: 1:修复枚举系统进程时遗漏进程的bug 2:修复枚举DLL模块的bug 3:优化内核安全模式的代码 4:优化扫描隐藏进程的一个bug 5:优化内核Hook扫描,扫描速度有突破性增加 6:优化应用模块与内核模块通信的代码 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-02-16 3600safe v0.1beta11: "3600safe v0.1beta11" 版本MD5:a1283273dafc30f2e18e69a31ee72fe6 || 8404196cc8a22e0e8243d429be56defe 修复: 1:修复自我保护代码的一个bug(严重感谢 乱码 的测试) >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-02-16 3600safe v0.1beta10: "3600safe v0.1beta10" 版本MD5:aed6acb52adf6e2fdb10a3cdd311b181 新增: 防御日志 导出防御日志 Tcpip 查看tcpip.sys函数 脱钩所选函数 复制tcpip.sys函数到剪贴板 Nsiproxy 查看Nsiproxy.sys函数 脱钩所选函数 复制Nsiproxy.sys函数到剪贴板 其他: 最小化到系统托盘 增加了对win7 home/旗舰版sp1 的系统原生文件验证 木马启动防御 修复: 1:修复“一键卸载360”功能时重载ntfs的bug 2:修复win7 sp1 旗舰版退出时蓝屏bug 3:优化内核模块若干代码逻辑 4:优化查看网络连接代码 5:修复了win7旗舰版sp1下无法查看tcp端口的bug 6:优化自我保护代码逻辑 7:重写了防御日志模块的内核代码 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-02-10 3600safe v0.1beta9 2012情人节专版: "3600safe v0.1beta9" 版本MD5:244bfa407f7a4a86a1800e0b6571c294 新增: 过滤驱动 查看过滤驱动 摘除所选设备 ntfs/FSD 增加了对win2003的支持 系统进程 枚举进程DLL模块的时候,显示DLL是否由svchost系统服务启动 修复: 1:修复枚举ShadowSSDT的时候申请内存失败问题(感谢 bird/鸟总 帮忙测试) 2:优化了应用模块和内核模块申请内存的效率 3:修复了win7下若干可能会产生蓝屏的bug (感谢 bird/鸟总 帮忙测试) 4:去掉了应用模块的VMP壳(应用模块就不加VMP了,避免各大杀软查杀) 5:优化了win2003下暴力删除文件功能 6:整理了一下界面,貌似比之前好看了一点点 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-02-07 3600safe v0.1beta8: "3600safe v0.1beta8" 版本MD5:25dd351a5d663468179e07f27aecce85 修复: 1:修复若干win7下导致系统蓝屏的bug,感谢AlxDong、强子等提供dump文件 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-02-02 3600safe v0.1beta7: "3600safe v0.1beta7" 版本MD5:dde4e5ba168a5596bf45877a1520bac9 新增: ntfs/fsd(仅会在xp/win7下出现) 查看ntfs/Fsd函数 脱钩所选函数 复制ntfs/Fsd函数到剪贴板 防御日志 清空防御日志 重启后“查看防御日志” 修复: 1:修复重载ntfs.sys原始地址查找的bug 2:改善了“暴力删除文件”功能(可删除一切基于ntos*/ntfs.sys上做hook来保护的顽固文件) 3:修复“防御日志”的一个逻辑bug 4:修复了内核模块一些潜在的逻辑bug >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-01-31 3600safe v0.1beta6: "3600safe v0.1beta6" 版本MD5:f3e8ec7f43cd171a575663f2eb99d5e5 修复: 1:修复界面的一些逻辑小bug,不表 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-01-30 3600safe v0.1beta5: "3600safe v0.1beta5" 版本MD5:8d2397135c6cab12e7f92a70bb86b7ad 新增: 1:一键卸载360 2:360进程保镖 修复: 1:修复一些小bug,不表 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-01-30 3600safe v0.1beta4: "3600safe v0.1beta4" 版本MD5:bc45b0a8578d0c563c210678bf246697 修复: 1:修复与360兼容问题 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-01-29 3600safe v0.1beta3: "3600safe v0.1beta3" 版本MD5:d90a5819c65c74eda8973dbbda4bf9ec 新增: ShadowSSDT 查看挂钩函数 查看所有函数 脱钩所选函数 脱钩所有ShadowSSDT-HOOK 复制ShadowSSDT函数到剪贴板 Object钩子 扫描ObjectHook 防御日志 远程木马执行命令防御 内核安全模式:SSDT + ShadowSSDT 重载 修复: 1:修复禁止创建进程之后,无法扫描内核Hook的问题 2:修复防御日志的一个蓝屏bug 3:修复网络连接system进程名显示不全的bug 4:修复内核Hook扫描的bug >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-01-18 SafeSystem v0.1beta2: "SafeSystem v0.1beta2" 版本MD5:d354bf9b5c3f253adfb66c4374c4bd2e 新增: 暴力删除文件 禁止加载驱动 禁止创建进程 禁止创建文件 强制环保重启 修复: 1:内核模块路径显示不正确问题 2:内核hook扫描误报问题 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-01-13 SafeSystem v0.1beta1: "SafeSystem v0.1beta1" 版本MD5:e38b997ac64d3617955392cac645bf56 新增: 内核模块 dump所选模块内存到文件 系统进程 验证所选DLL模块是否由svchost启动 修复: 1:hook地址计算问题 2:取csrss.exe进程pid通用问题 3:修复反复hook NtReadFile引发蓝屏问题 4:修复了内核Hook扫描几率误报的问题 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2012-01-09 SafeSystem v0.1beta: "SafeSystem v0.1beta" 版本MD5:c19076bda5e0379a3f510fb813ae56cd SSDT 查看挂钩函数 查看所有函数 脱钩所选函数 脱钩所有SSDT-HOOK 内核模块 刷新内核模块 刷新内核模块(只看非认证的模块) 内核Hook 扫描内核hook(仅导出函数) 脱钩所选函数 绕过所选函数的hook 防御日志 查看防御日志 网络连接 刷新网络连接 终止所选进程 系统进程 刷新进程列表 查看进程模块 终止所选进程 终止所选进程并删除文件 云端验证是否系统原生文件 卸载所选DLL模块 卸载所选DLL模块并删除文件 系统服务 常规扫描 深度扫描 启动 停止 手动 自动 禁用 删除 |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。