API HOOK 辅助工具+文件强制删除(开源)

第一版本开源: http://bbs.pediy.com/showthread.php?t=149895

 

原本的版本设计内容还是很多的,只是实现了少部分功能。

1、anti-rookits部分
   1.1、隐藏进程的检测和强制结束。
   1.2、SSDT枚举(这个功能还要考虑,理由很简单,很多杀毒软件在这里做过滤,这个是兵家必争之地,想一想,列出一大堆东西,也不知哪个是好哪个是坏,除非有什么策略可以判断,不然就又是

什么白名单黑名单的事了)
   1.3、Inline HOOK 扫描

2、HIPS,实现3D防护,AD+RD+FD
   2.1 AD(Application Defend)应用程序防御体系 
       2.1.1 采用学习模式,对最开始的系统进程进行自学习,然后对陌生进程进行拦截或者添加白名单
       2.1.2 行为序列化拦截,这个技术我个人感觉是非常有创意的。N年前开始,支持向量机,N多人工智能算法诞生了,然后N多的人开始搞这个,后来大家发现这东西实在很难创新了,然后就把魔爪延伸到安全类领域(巧妙的应用已有算法,也是创新的途径),对恶意程序静态导出IAT表,然后短序列化,然后用人工智能的机器学习算法去训练,然后做了一大堆表格,说这个东西可以预测未知病毒。这样的论文可以在中国期刊网,ACM论文网看到很多,大家炒来炒去,基本都是那个意思。可是静态导出IAT表,根本就不是执行的行为序列,要获得执行序列,我倒是有一个小工具,是一个俄罗斯人写的,不过年代太久了,而且是为了破解和调试设计的,导出了API调用的所有参数,很***,不过bug也很多。所以这里如果可以动态的获取API序列,然后用一些优化算法做好匹配,这样的工具的诞生,说不定可以给研友们注入一点新的活力,然后就可以"动态拦截+机器学习了",多好,造福研友。

   2.2 RD(Registry Defend)注册表防御体系       很明显又是SSDT(这个做出一个可用的策略目前没有,毕竟读写注册表的操作太多了,目前看到的大部分作品都是直接全部列举,这显然是没有策略

的,但是什么是注册表的关键目录,哪些需要做提醒,这又需要大量的测试数据,可见这个注册表HIPS还是很困扰人的,策略不好,做出来就很多余了,目前比较好的方案是直接关注“开机启动项”,

其他先无视之)
   2.3 FD(File Defend)文件防御体系             还是SSDT打算做关键目录的自定义写保护(基本打算仿照ESET的HIPS)

3、强制删除(内核态),糅合进程解除暂用,文件夹内部递归遍历(目前看到的都是针对单个文件的,同时没有配合解除进程占用,很显然,我没办法做到像360或者金山那样,但是基本效仿)。

4、U盘病毒防护,禁止U盘目录应用程序创建进程,防止病毒从U盘自启动(这个是自己YY出来的,其实大部分人还是不希望自己的电脑插入U盘之后,里面某某个程序就自动运行了;至于有人说能不能禁

止别人的电脑对自己的U盘写入,这个不关软件的事,这个是硬件制造商的责任)。

5、希望本系统有自保弄能,不能被病毒轻易结束进程。目前想禁止被注入,同时进程不被直接结束。

6、DLL注入辅助工具,针对某个进程注入,卸载模块。这个功能需要专业用户采用用了,DLL要自己写,可以辅助调试,XXOO之类的。

7、最后,来点坑爹的,“云查杀”,够坑爹吧,其实这个基本是鸡肋的功能,就是对安装本软件的异常文件上传,更新服务器库,然后提供给所有人用,之所以说坑爹,是因为这玩意需要人工分析上传

样本,别跟我说用机器学习,避免人工,那玩意还是科研玩具(TCP/IP当年也是科研玩具,如今是通用协议了,这里没有轻视的意思),不能用的。当然,这个功能能够逼迫我去学习一下数据库,服务

器的搭建,所以还算是对我有益处。

 


这个软件全职来弄,估计也要一两个月,也许可以当做毕业设计,不过这次要认真一点,先做好框架的规划,同时希望解决驱动的操作系统兼容性问题(至少要跑过windows xp和windows 7),最好兼容一下各个杀毒软件(这个很锻炼人的,杀毒软件的冲突时必然的,做兼容是很让人痛苦的事,我觉得这点估计做不到)。


除了这个,还YY到另外一个需求,灵感来源就不说了,姑且叫做“系统操作回滚器”吧,跟还原精灵差不多功能,不过提供一条时间轴,可以恢复到系统任意时间的状态,这个工具相信很有市场,想想某某天,下载了个东东,运行了,木马跑起来了,痛苦之中,希望自己刚才没运行过,回滚一下就搞定了,这样的工具技术细节当然是和沙盘一样了(应该是磁盘过滤),只不过把沙盘的策略重新调整,说实在的,不是专门搞这个的,没什么人会去用沙盘,输出的一大堆注册表,文件操作,非专业人士很难判断。这个需求我就搞不定了,首先我对磁盘过滤不熟悉,略懂,其次,系统的所有操作都要记录(要不估计记录C盘的,兵家必争之地),那时间轴的提供,会使得数据记录非常庞大,这时候估计就要咨询“汤庸”了。当然,紧紧磁盘过滤是不够的,内存现场保护很重现也要搞(这个我真不知道用什么技术了),想想某天,用着某某个word,写了一大堆,突然进程挂了,没保存。。。如果内存都做了保护和重现,那就恐怖啦,简直是惊世之作。整个系统的操作都能过回访了。至此,YY结束,忘了这个需求吧,这是不可能的。

 

第二版本试用:

 

可执行程序下载,欢迎使用:

http://code.google.com/p/xmxactivedefense/downloads/detail?name=XMX%E9%A9%B1%E5%8A%A8%E7%BA%A7%E4%B8%BB%E5%8A%A8%E9%98%B2%E5%BE%A1_%E5%AE%89%E8%A3%85%E7%A8%8B%E5%BA%8F.rar&can=2&q=#makechanges

请在windows xp下运行。

posted on 2012-05-14 04:03  zhxfl  阅读(1659)  评论(4编辑  收藏  举报

导航