hookvir主动防御Beta0

123

本人写的主动防御杀毒软件，监控文件操作和注册表操作，可自定义要监控的文件类型，自定义程序规则。
Beta0版，功能极不完善，但基本稳定。

阿非

下载试试 

mfkwgij

确实很有意思的了！~

紫狐

希望能够完善起来，这样无忧又出了一款好的安全软件。

123

最近改了架构，改了很多东西，不过在内核中很多东西不能用（如不支持WINAPI），所以只要一个SYS是不可能的。

[ 本帖最后由 123 于 2008-4-19 09:56 AM 编辑 ]

123

原帖由 nn2nn 于 2008-4-19 09:24 发表
如果我要定义G盘下所有文件不被复制、修改和删除，
如何设置规则？

我设了个，好象无效。

*，拒绝，所有操作，g:\*.* (或g:\*)

程序先通过文件类型判断，如果满足要求才做规则判断。

123

原帖由 nn2nn 于 2008-4-19 11:08 发表
C++的编辑环境太难建立了！

搞来搞去，总是编译出错。

MS的东西，真麻烦！

是缺少ntddk.h吧？非得用winddk的编译器才能编译，把这些h文件都补齐了也不行。

netwinxp

原帖由 123 于 2008-4-19 09:45 发表
最近改了架构，改了很多东西，不过在内核中很多东西不能用（如不支持WINAPI），所以只要一个SYS是不可能的。

用一个sys确实没办法，用一个EXE倒是有可能，你可以查找“Do All In One EXE File Under Win32”的一个帖子。

123

原帖由 netwinxp 于 2008-4-19 12:35 发表

用一个sys确实没办法，用一个EXE倒是有可能，你可以查找“Do All In One EXE File Under Win32”的一个帖子。

还没见过可以用EXE实现SSDT HOOK，又怎么用EXE来替换掉文件系统驱动？
就算WSYSCHECK也要在运行时释放出一个SYS

netwinxp

他的EXE直接建立驱动服务，不需要释放SYS。

[ 本帖最后由 netwinxp 于 2008-4-19 02:38 PM 编辑 ]

123

原帖由 nn2nn 于 2008-4-19 14:41 发表

我装了E:\WINDDK\3790.1830，在VC++是不能编译，
winddk的编译器是哪一个？

好像要用一个setenv.bat，很不方便，最好安装driverstudio，它会在VC里增加一个编译用的工具栏

123

原帖由 netwinxp 于 2008-4-19 14:32 发表
他的EXE直接建立驱动服务，不需要释放SYS。

我用hookvir监控到他的EXE在TEMP文件夹里生成了一个SYS，我拦截后提示有驱动无法安装，功能限制什么的。

netwinxp

那篇文章提供了三个方法启动驱动服务，他的例子是采用第三种方法，释放文件然后直接启用驱动，这个和把驱动放在注册表，让系统启动驱动的方法(一般度采用此方法)有本质区别。从理论上讲它可以完全在内存中生成驱动而不需要依靠驱动文件，当然这涉及到驱动程序所在的内存区操作肯定会很麻烦。

[ 本帖最后由 netwinxp 于 2008-4-19 03:10 PM 编辑 ]

123

原帖由 netwinxp 于 2008-4-19 15:07 发表
那篇文章提供了三个方法启动驱动服务，他的例子是采用第三种方法，释放文件然后直接启用驱动，这个和把驱动放在注册表，让系统启动驱动的方法(一般度采用此方法)有本质区别。从理论上讲它可以完全在内存中生成驱 ...

不管用什么办法，释放一个SYS文件是必须的，EXE不可能代替SYS的功能。

123

原帖由 nn2nn 于 2008-4-19 15:57 发表
几点建议：
1、SYS能独立工作。如开机就自己启动。询问窗口可调用EXE显示，没有EXE时视为禁止。询问窗口内置更好。
2、EXE只起设置和控制作用。如设置规则、暂停监视等，可设为通过密码才能启动EXE。

SYS连弹出个对话框都不可能。

renjinhui

原帖由 nn2nn 于 2008-4-16 12:01 PM 发表
强烈支持，稳定最重要。

严重同意

6618

报错：
XP系统，NOD32杀软件，点软件“开始”按钮就蓝屏。

123

原帖由 <i>6618</i> 于 2008-4-20 16:26 发表 <a href="http://bbs.wuyou.net/redirect.php?goto=findpost&pid=1381241&ptid=122683" target="_blank"><img src="http://bbs.wuyou.net/images/common/back.gif" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open(this.src);}" onmousewheel="return imgzoom(this);" alt="" /></a><br />
报错：<br />
XP系统，NOD32杀软件，点软件“开始”按钮就蓝屏。

<br />
经测试，有时开这个然后再开一个恢复SSDT的程序蓝屏，开ICESWORD也蓝屏。