好友
阅读权限255
听众
最后登录1970-1-1
|
Hmily
发表于 2009-5-26 13:24
今天有点时间,修改点东西.
YasKit1.223依然的没添加任何新功能,也没支持新版本的操作系统,依然只支持XP,2003只是修改其中几个BUG
1 进程部分: 卸栽模块弄成一项,进程检测去掉三个功能,修改用户态判断BUG
去掉一些DLL的显示,增强DLL列举的稳定性
2 文件部分: 让文件显示快些, 去掉复制文件功能, 修改文件粉碎功能
3 注册表部分: 添加了隐藏注册表键显示红色的功能,方便查看.和一个BUG
4 钩子部分:修改用户态inline hook检测.
YasKit1.223功能
1检测隐藏进程,结束进程, 查看非数字签名的进程,查看进程线程
2检测隐藏DLL,删除运行的DLL,强制卸载DLL,DLL数字签名查看
3检测隐藏文件(支持FAT32,NTFS),强制删除文件,粉碎文件,查看可能被感染的文件.
4检测隐藏注册表,支持简单的修改,隐藏键用红色显示
5系统关键启动项查看
6检测系统钩子,ring3 EAT.IAT,INLINE,MESSAGE检测, ring0 shadow/ssdt idt iat
eat fsd irp inline 检测
7检测隐藏的内核模块
8检测notify,几个object hook,过滤驱动等等一些杂项
9系统监控,包括关键注册表操作,进程线程相关等
10一些处理系统的小功能,可以在工具看到
YasKit 1.223 any bug welcome to report
Sysnap2006@gmail.com
2009.6.11
软件简介:
Yas Kit 是一款基于内核和底层技术的反黑辅助工具..它采用大量的内核技术和底层操作,让你可以轻松的找出病毒并且杀之...它适用于XP和2003系统..当然使用Yas Kit需要用户具备一定相关的知识...
注意: Yas的正常运行依赖于 sysdll_2006.dll和Sysnap_2006.sys...程序运行时会在system32目录下释放这俩个文件..一些主动防御系统会视为病毒.可以不理会之..还有NOD也会误报,添加信任程序就可以了
保证与免责声明
Yas Kit是Sysnap开发的免费工具软件,
Sysnap不保证本软件没有错误,在使用过程的任何后果需要自己负责.但欢迎有把错误报告给我.以便修正..
如果一运行就崩溃...可以把名字改为NoPs yas.exe或者NoDrv yas.exe看看...因为可能是yas 的驱动对你的操作系统支持不是很好..尽管如此...yas不用驱动也有很强大的功能..只要你把名字改为NoDrv yas.exe...这样就不会加载驱动了..
软件功能
主界面: 包括进程管理, 注册表管理, 文件管理, 启动项管理, 钩子检测, 内核模块, 内核其他, 行为监控
主菜单包括: 工具( 包括,进程内存状态, SPI, BHO等查看) 设置 和关于
进程: 包括检测隐藏进程..对非系统进程进行表示...数字签名验证..可以在线查询进程信息..检测隐藏DLL和排除正常DLL等等
具体使用: 举例....1 电脑中了病毒...但用一般进程管理器看不出什么特别进程...但用yas可以发现一个隐藏进程..隐藏进程我会用红色表示出来...把那红色的结束掉就可以了
2. 没发现隐藏进程...系统还是异常.....这时候点右键..数字签名...比如看到userinit.exe没通过数字签名啊....但这个是系统的进程...那可能是被替换了...解决办法是去干净机器找个干净的替换掉
3 一个病毒用" 线程注入" 方式注入了explorer.exe...那可能一般会比较难找....YAS在列DLL时排除了一些以知DLL..这样你可以很清楚的看到注入的DLL....或者不确定的..右键"百度查询"或者" 数字签名"......如果确定是病毒DLL...可以把它卸载掉或者强制卸载....但这中方式不支持使用....因为可能造成进程死掉......所以可以用右键""直接删除文件" 这样再重起就行了
4 如果你想列出一个进程的所有DLL....包括隐藏的...可以用" 显示所有DLL"..这样的化如果有病毒使用ROOTKIT技术隐藏了DLL就会被YAS找出来
5 如果想看一个进程有多少个线程...也可以通过yas的进程管理器查看
文件管理: 可能大家会觉得yas的文件管理界面不是很友好...但其强大的内部功能不是一般文件管理器比拟的了的.....底层的操作可以检测到许多的隐藏文件....强制删除很多顽固的文件...
1系统有一个病毒进程..依照路径..就是找不到它的文件...那可能是使用rootkit技术把自己隐藏起来了......这时候用yas的文件管理就可以清楚的看到了......
2 想把病毒文件删掉....但老是删不掉....可能是病毒正在运行...这时候你使用 "强制结束" 就可以删除了....当然从删文件这一过程来说...可以防删的办法有很多..这个后面说明
3 我只想看EXE或者DLL文件....那可以点最下面的选择..这样YAS会自动过滤....
4 那么多文件...哪些是正常的...你可以用数字签名看看........但可能速度会比较慢....那些非数字签名的...可以 "百度查询" 看别人怎么说
5 文件被感染可以找出来吗......可以....但扫描可能扫不出来.......这个时候你用 "PE文件信息" 就可以查到相关信息了......比如一个文件代码节内被注入了代码....或者添加了新节....同时也会列出IAT相关函数方便查看....
6 一个病毒删不掉啊....一删就有.......呵呵......这个时候你应该试试yas的"破坏文件"/...再重起看看效果...
注册表管理: yas的注册表比较简单....提供的操作也比较少.........但没关系...因为yas的注册表功能在检测隐藏注册表方面是非常出色的.......当然稳定性差了点..但经过修改后基本稳定了.....而且速度也比较块..有实时性........如果你用很多的注册表管理工具找不出什么东西出来......可以试试YAS的注册表........它可以让你看到最原始的注册表数据.......发现异常后可以删除之.........提供了REG文件导出......导出后你做下修改再导入就可以达到修改注册表的目的了.......一般来说效果是不错的....
启动项管理: 用户可以发现可疑的自启动程序并关闭它。因为一般病毒的启动是通过修改注册表的......只要我们发现并删除...病毒自然就不能自己启动了.....yas提供了常见的注册表启动项查看.......比如你发现某个病毒的启动项...只要"跳转到注册表" 就可以利用regedit来操作了.
钩子检测:: yas提供了多种类型的钩子检测......
什么是钩子: 钩子就是修改系统正常执行流程的一段代码....通过改变系统执行流程来达到一些目的.....比如隐藏文件...隐藏进程...防止进程结束等等,,,
Yas 提供的钩子检测有 SSDT / SHADOW SSDT / IDT / 内核模块IAT/ 内核EAT/ FSD / IRP / 内练钩子...还有一般的用户态钩子,比如IAT/EAT 消息钩子等,,,
SSDT....修改这个可以完成隐藏文件...隐藏进程....等操作....但现在一般的ROOTKIT用的少...原因是太显眼了...这个地方是杀软用的多.....可以用来做实时监控或者主动防御系统
Shadow SSDT: 一般是跟界面窗口相关的......可能用的最多是保护自己的窗口或者做一些跟全局勾子有关的东东...
IDT; 就是中断表, 一般可以用来完成one byte hook。。或者抗调试。。键盘记录。。。内存隐藏。。。如果发现异常可能是被ROOTKIT修改了
内核模块IAT。。。这个是查看内核驱动导入表情况的。。比如一些杀软不会拦截你驱动加载。。但可能会修改你的IAT。。。这样相关重要的函数一但调用就会跳到杀软的代码中了。。这样可能组织你做一些相关的操作。比如结束进程。。。。当然ROOTKIT也可以用这样的技术。。。。还有比如FSD驱动的IAT中的MmFlushSection被HOOK了。。。这样你删除文件就删不了。。。当然还有其他办法组织删文件的。。这里就不描述了
内核EAT。。。这个巨有全局性。但实时性比较差。。但对开机就hook的病毒来说。。还是不错的选择。。。当然一些杀软也会采用相同的技术。。。一般是防火墙用的比较多。。。
FSD: 文件系统驱动, 如果你发现文件隐藏了。。。或者删不了。。。可能是FSD被HOOK了。。这个时候用yas就可以查出来。。。当然yas这部分不是很稳定。。。有一些是显示错误的。。但不要紧。。。
IRP: 这个自己网上查吧。。
内联钩子: 这个可能是所有HOOK中使用最多但又最不稳定的一中HOOK了。。。这中HOOK有什么功能取决于他HOOK的方式。。。。。比如NtTerminateProcess可以防止进程结束。。或者更深的函数。。。YAS检测INLINE是很强大的。。。当然目前还不知道未导出函数的检测。。。但检测的效果应该是不错的。。。。Shadow ssdt部分可能有一些误报,。。。自己判断下吧。。很简单的。。。
用户态钩子就不说了。。
内核模块。。一般的ROOTKIT是以一个驱动存在的。所以YAS列出了系统一些加载的驱动。你可以通过数字签名来判断一些可疑文件。如果不确定可以“百度查询”看别人怎么说。。。如果ROOTKIT采用了隐藏驱动。没关系。Yas可以检测的。。这里说个小技巧。可以通过yas的注册表管理查看服务键。也有一切相关信息
内核其他: 一些比较细小的东西就放在这里。。。比如notifyroutne...过滤驱动等。。。
行为监控:主要是监控进程创建和结束..当然也有注册表的...只是需要你在设置那里设置一下...这个功能是比较好的..特别是对那些喜欢玩病毒的人来说....还有...提供了重起并监控..这样在开机中运行那些进程都会被记录下来
工具...提供了一些小工具啊....比如简单修复功能....SPI查看(一般木马也可以用这个来启动.当然一些防火墙也动了这个地方)..BHO查看(病毒一般利用这个来达到开IE就启动自己的目的)...服务查看(一般病毒是以服务启动的,这样的化可能就没有进程了...YAS对开机就启动的服务用红色表示) |
|
发表于 2009-9-24 08:10
发表于 2010-1-15 10:29
我同级校友的东西
