- 博客(0)
- 资源 (70)
- 收藏
- 关注
20050302suxue.zip
密码探测器:利用溯雪可以轻松的完成基于web形式的各种密码猜测工作,例如email、forum中的注册用<br><br>户密码等。软件采取多线程编写,除了支持字典和穷举以外,软件最大的特色是可以自己编写猜测规则,<br><br>例如可以按照中文拼音或者英文单词拼写规则随机组合出字典文件,最大程度上保证了猜测的准确性。 <br>
2008-06-12
反捆绑工具集包
是本人精心收集的反捆绑工具集包含5个工具。我已经使用它们来检测了一下论坛上的工具。其结果不言而喻 <br>如图所示:<br>要说的话:<br>现在的病毒。多种多样。今天过卡巴。明天过瑞星。像熊猫、威金之流。但是万变不离其踪.它们在注入exe时候。都会留下珠丝马迹.如文件头(说深了.也没用).总之使用一些不放心的工具时候。你可以用它们来检测一下.总会有些给你惊喜的.如论坛上一些个人发布的XX工具呀。我在这里也不指明.免得和他们吵<br>
2008-06-03
Wsyscheck.rar
<br> Wsyscheck是一款手动清理病毒木马的工具,其目的是简化病毒木马的识别与清理工作。<br><br> 一般来说,对病毒体的判断主要可以采用查看路径,查看文件名,查看文件创建日期,查看文件厂商,微软文件校验,查看启动项等方法,Wsyschck在这些方面均尽量简化操作,提供相关的数据供您分析。<br><br> 最终判断并清理木马取决际您个人的分析及对Wsyscheck基本功能的熟悉程度。<br><br>Wsyscheck基本功能简单介绍:<br><br>1:软件设置中的模块、服务简洁显示<br><br> 简洁显示会过滤所微软文件,但在使用了“校验微软文件签名”功能后,通不过的微软文件也会显示出来。<br> SSDt右键“全部显示”是默认动作,当取消这个选项后,则仅显示SSDT表中已更改的项目。<br> <br>2:关于Wsyscheck的颜色显示<br><br>进程页:<br><br> 红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。<br><br>服务页:<br><br> 红色表示该服务不是微软服务,且该服务非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。<br><br> 使用“检查键值”后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。<br><br> 在取消了“模块、服务简洁显示”后,查看第三方服务可以点击标题条”文件厂商”排序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。<br><br> 进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制。<br><br> 在使用“软件设置”-“校验微软文件签名”后,紫红色显示未通过微软签名的文件。同时,在各显示栏的"微软文件校验"会显示Pass与no pass。(可以据此参考是否是假冒微软文件,注意的是如果紫红色显示过多,可能是你的系统是网上常见的Ghost精简版,这些版本可能精简掉了微软签名数据库所以结果并不可信)<br><br>SSDT管理页:<br><br> 默认显示全部的SSDT表,红色表示内核被HOOK的函数。查看第三方模块,可以点击两次标签“映像路径”排序,则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。<br><br> SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径,而使用“恢复当前函数代码”功能只恢复Inline Hook,路径将显示为地址HOOK的模块路径,再使用“恢复当前函数地址”功能就恢复到默认的函数了。<br> <br> 使用“恢复所有函数”功能则同时恢复上述两种HOOK。<br><br> 发现木马修改了SSDT表时请先恢复SSDT,再作注册表删除等操作。<br><br>活动文件页:<br><br> 红色显示的常规启动项的内容。<br><br>3:关于Wsyscheck启动后状态栏的提示“警告!程序驱动未加载成功,一些功能无法完成。”<br><br> 多数情况下是安全软件阻止了Wsyscheck加载所需的驱动,这种情况下Wsyscheck的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。<br><br> 驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能,本功能带有“直接删除”运行中的文件的功能。<br><br>4:关于卸载模块<br><br> 对HOOK了系统关键进程的模块卸载可能导致系统重启,这与该模块的写法有关系,所以卸载不了的模块不要强求卸载,可以先删除该模块的启动项或文件(驱动加载情况下使用删除后重启文件即消失)。<br><br>5:关于文件删除<br><br> 驱动加载的情况下,Wsyscheck的删除功能已经够用了,大多数文件都可以立即删除(进程模块可以直接使用右键下带删除的各项功能),加载的DLL文件删除后虽然文件仍然可见,但事实上已删除,重启后该文件消失。<br><br> 文件管理页的“删除”操作是删除文件到回收站,支持畸形目录下的文件删除。应注意的是如果文件本身在回收站内,请使用直接删除功能。或者使用剪切功能将它复制到另一个地方。否则你可能看到回收站内的文件删除了这个又添加了那个。<br><br> Wsyscheck的或“dos删除功能”需要单独下载Wsyscheck的附加模块文件WDosDel.dat,将此文件与Wsyscheck放在一起会显示出相关页面,添加待删除文件并重启,启动菜单中将出现“删除顽固文件”字样,选择后转入Dos删除文件。在某些机器上,若执行“dos删除”重启后系统报告文件损坏要修复(此时修复会造成文件系统的真正损坏),此时请不要修复而是立即关闭主机电源,重新开机。(这种情况是Dos删除所带的NTFS支持软件本身的BUG造成的,并不需要真正的修复,只需关闭电源重新开机即可。)<br><br> “重启删除”与“Dos删除”可以同时使用。其列表都可以手动编辑,一行一个文件路径即可。关闭程序时如果上述两者之一存在删除列表,会问询是否执行。<br> <br> 注意,为避免病毒程序守护,Wsyscheck可以在删除某些文件时可能会采取0字节文件占位的方式来确保删除。这些0字节文件在Wsyscheck退出后会被自动清理。是否采用此方式依赖于“软件设置”下的“删除文件后锁定”选项是否勾选。<br><br><br> 如果需要对删除的文件备份,先启用软件设置下的“删除文件前备份文件”,它将在删除前将文件备份到%SystemDrive%\VirusBackup目录中,且将文件名添加.vir后缀以免误执行。<br><br><br>6:关于进程的结束后的反复创建<br><br> 如果确系木马文件,可选择结束进程并删除文件,这样的话Wsyscheck会将其结束并删除文件。但有时因为木马有关联进程未同时结束,会重新加载木马文件。这时我们可以选择“软件设置”下的“删除文件后锁定”。这时当结束进程并删除文件后Wsyscheck将创建0字节的锁定文件防止木马再生。<br><br> 也可以使用进程页的“禁止程序运行”,这个功能就是流行的IFEO劫持功能,我们可以使用它来屏蔽一些结束后又自动重新启动的程序。通过禁用它的执行来清理文件。解除禁用的程序用“安全检查”页的“禁用程序管理”功能,所以在木马使用IFEO劫持后也可以“禁用程序管理”中恢复被劫持的程序。<br><br> 软件设置下的“禁止进程与文件创建”功能是针对木马的反复启动,反复创建文件,反复写注册表启动项进行监视或阻止,使用本功能后能更清松地删除木马文件及注册表启动项。开启禁止“禁止进程与文件创建”后会自动添加“监控日志”页,取消后该页消失。可以观察一下日志情况以便从所阻止的动作中找到比较隐藏的木马文件。注意的是,如果木马插入系统进程,则反映的日志是阻止系统进程的动作,你需要自我分辨该动作是否有害并分析该进程的模块文件。<br><br> 要保留日志请在取消前Ctrl+A全选后复制。注意,为防止日志过多,满1000条后自动删除前400条日志。<br><br> 对于反复写注册表启动项无法修复的情况,可以先用“禁止进程与文件创建”找出覆写该注册表项的进程,针对木马插入的线程进行挂起,再修复注册表。<br><br> 懒于查看分析,不想太麻烦的话,可以先删除文件(直接删除、重启删除),待重启之后再修复注册表。<br><br>8:关于批量处理<br><br> 各页中可尝试用Ctrl,Shift多选再执行相关的功能。<br><br> 文件搜索中的“保存文件列表”导出搜索结果列表1,在PE启动后再执行一次得到结果2,将结果1与结果2相比较,可以用来对付某些Wsyscheck检测不出深度隐藏的RootKit。<br><br>9:关于如何清理木马的简单方法:<br> <br> 1: 勾选“软件设置”下的“删除文件后锁定”以阻止文件再生。<br><br> 2: 批量选择病毒进程,使用“结束进程并删除文件”。<br><br> 3: 插入到进程中的模块多不可怕,全局钩子在各进程中通常都是相同的,处理进程的模块即可。建议采用“直接删除模块文件”,本功能执行后看不到变化,但文件其实已经删除。不建议使用“卸载模块”功能(为保险也可以与“重启删除”联用),原因是卸载系统进程中的模块时有可能造成系统重启而前功尽弃。<br><br> 4: 执行“清理临时文件”、“清除Autorun.inf”<br><br> 5:在安全检查中可以修复的修复一下。不强求,重启后再执行二次清理。<br><br> 6: 重启机器,大部份的病毒应该可以搞定了。此时再次检查,发现还有少量的顽固病毒才使用“禁用”“线程”“卸载”“重启删除”“Dos删除”等方法。<br><br> 7: 清理完后切换到文件搜索页,限制文件大小为50K左右,去除“排除微软文件的勾”搜索最近一周的新增的文件,从中选出病毒尸体文件删除。<br><br><br>10:Wsyscheck可以使用的参数说明:<br><br> Wsyscheck可以带参数运行以提高自身的优先级<br> Wsyscheck 1 高于标准 Wsyscheck 2 高 Wsyscheck 3 实时<br> 例如需要实时启动Wsyscheck,可以编辑一个批处理 RunWs.bat ,内容为 Wsyscheck 3<br> 将RunWs.bat与Wsyscheck放在一起,双击RunWs.bat即可让Wsyscheck以实时优先级启动。<br><br> Wsyscheck -f wsyscheck将恢复部份查询类的SSdt表中的函数,然后退出。<br> Wsyscheck -s 在-f的基础上执行创建安全环境后退出。<br><br> 如将Wsyscheck.exe更名,则Wsyscheck启动后先恢复执行部份查询类的SSdt表中的函数,其恢复结果可以在SSdt显示页下面的Auto Restore中看到。不更名则不带此功能。另外,更名后Wsyscheck将使用随机驱动名来释放驱动。<br><br><br>11:随手工具说明(指菜单工具下的子菜单功能)<br><br> 一般看其意即识其意,仅对部份子项说明:<br><br> 清除临时文件:删除%TEMP%,%windir%\Temp及%windir%\Downloaded Program Files下的所有文件。<br><br> 禁用硬盘自动播放:本功能还包括磁盘无法双击打开故障。注意,某些故障修复后可能需要注销或重启才能生效。<br><br> 修复安全模式:某些木马会破坏安全模式的键值导致无法进入安全模式,本功能先备份当前安全模式键值再恢复默认的安全模式键值。<br><br> 如果Wsyscheck的窗口本身已采取随机字符,如果仍然被木马禁用,请将Wsyscheck改名后运行。<br><br><br> Wangsea 20071222 <br> Wang6071@sina.com.cn <br> http://wangsea.ys168.com <br><br><br> <br><br><br><br><br><br><br><br><br><br><br><br><br>
2008-06-02
IceSwordV1.22
IceSwordV1.22 一柄斩断黑手的利刃。<br>用于查探系统中的幕後黑手(木马后门)并作出处理:<br>IceSword 内部功能是十分强大的<br>包括:进程、服务、端口、启动、注册表、文件信息...等工具;<br>使用它需要用户有一些操作系统的相关知识。 <br>
2008-04-17
超级巡警文件暴力删除工具 v1.3.zip
本工具采用内核技术删除文件,能删除运行中文件或者被占用文件,可以用来查看文件被哪些程序占用,也可以在病毒分析中对一些顽固病毒木马衍生文件的删除。<br> 本软件产品为免费软件,用户可以非商业性地下载、安装、复制和散发本软件产品。如果需要进行商业性的销售、复制和散发,必须获得DSWLAB的授权和许可,商业公司及团队使用本软件必须获得DSWLAB的授权和许可。<br>
2008-04-17
ms05039.rar
MS05-039 Scan v1.0,这是一款基于Windows 下快速检测和分析的安全扫描工具,可以正确识别那些容易遭受MS05-039 安全公告下溢出的Microsoft 操作系统。<br><br>相关漏洞链接:http://www.microsoft.com/china/technet/security/bulletin/MS05-039.mspx<br><br>------------------------------------------------------------------------------<br>MS05-039 Scan 1.0<br>Copyright 2005 (c) by McAfee, Inc.<br>http://www.foundstone.com<br>------------------------------------------------------------------------------<br>?MS05-039 Scan v1.0<br><br>Microsoft UPnP MS05-039 Vulnerability Detection Utility<br>Copyright 2005?by Foundstone, Inc.<br>http://www.foundstone.com<br><br>MS05-039 Scan 1.0 is a Windows based detection and analysis utility that can <br>quickly and accurately identify Microsoft operating systems that are <br>vulnerable to the multiple buffer overflow vulnerabilities released in the <br>MS05-039 bulletin. <br><br>MS05-039 Scan is intended for use by enterprise system and network administrators<br>as a fast and reliable utility for identifying at risk Microsoft systems in a <br>passive manner. This tool is non-abrasive in nature and may be run in production<br>environments during production hours. <br><br>Limitations of the tool:<br>The scanner is limited to 10 outgoing connections on WIndows XP SP2. This scanning limitation is caused by SP2. All other platforms will have 64 concurrent scanning threads running.<br><br>If you have anti-virus running it *may* detect this tool as an exploit. This tool *does NOT* exploit the vulnerabilty it simply determines if the machine is vulnerable or not.<br><br>Vulnerability Information:<br>There is a remotely exploitable vulnerability in the Plug and Play (PnP) RPC interface in Microsoft Windows.<br><br>Using a null session, an attacker could make an RPC request to the PnP interface on a Microsoft Windows system that could potentially execute arbitrary code.<br><br>This Foundstone check detects the absence of the patch by attempting to trigger the vulnerability in a nonintrusive manner over RPC.<br><br>Affected systems:<br><br>Microsoft Windows Server 2003 (All Versions)<br>Microsoft Windows XP (All Versions)<br>Microsoft Windows 2000 (All Versions)<br><br>For more information see:<br><br>http://www.microsoft.com/technet/security/bulletin/MS05-039.mspx<br><br>==============================================================================<br><br><br>FOUNDSTONE, INC.<br><br>Terms of Use<br><br>1. Acceptance of Terms<br><br>1.1.<br>Read these Foundstone, Inc. ("Foundstone") Terms of Use ("Terms") carefully<br>before you ("You") accept these Terms by: (a) selecting the "Accept" button at<br>the end of the Terms, or (b) downloading any of the Foundstone tools ("Tools")<br>located on this web site. If You do not agree to all of these Terms, select<br>the "Decline" button at the end of the Terms, or do not download any of the<br>Tools.<br><br>1.2.<br>The Terms are entered into by and between Foundstone and You. Foundstone<br>provides the Tools to You strictly subject to the Terms.<br><br>2. Permitted Use<br><br>2.1.<br>The Tools are freeware that You may download them for Your personal,<br>non-commercial use only.<br><br>2.2.<br>You may not modify, reverse engineer, make derivative works of, distribute,<br>transmit or sell any of the Tools without the express written consent of<br>Foundstone. <br><br>2.3.<br>The Tools may not be used by You or any other party for any purpose that<br>violates any local, state, federal or foreign law. You understand that<br>breaking into any network or computer system not owned by You may be illegal.<br><br>3. No Express or Implied Warranty<br><br>3.1.<br>THE TOOLS ARE PROVIDED TO YOU "AS IS." FOUNDSTONE MAKES NO WARRANTIES OR<br>REPRESENTATIONS, EXPRESS OR IMPLIED, ABOUT THE EFFECTIVENESS, COMPLETENESS OR<br>FITNESS OF THE TOOLS, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF<br>MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE.<br><br>4. Limitation of Liability<br><br>4.1.<br>YOU AGREE THAT FOUNDSTONE WILL NOT BE LIABLE FOR ANY DIRECT, INDIRECT,<br>INCIDENTAL, CONSEQUENTIAL OR PUNITIVE DAMAGES ARISING OUT OF YOUR USE OF, OR<br>INABILITY TO USE, THE TOOLS, INCLUDING WITHOUT LIMITATION ANY DAMAGE TO, OR<br>VIRUSES OR "TROJAN HORSES" THAT MAY INFECT OR INVADE, YOUR COMPUTER EQUIPMENT<br>OR OTHER PROPERTY, EVEN IF FOUNDSTONE IS EXPRESSLY ADVISED OF THE POSSIBILITY<br>OF SUCH DAMAGE.<br><br>4.2.<br>YOU AGREE TO HOLD FOUNDSTONE HARMLESS FROM, AND YOU COVENANT NOT TO SUE<br>FOUNDSTONE FOR, ANY CLAIMS BASED OR YOUR USE OF, OR YOUR INABILITY TO USE, THE<br>TOOLS.<br><br>5. Indemnification<br><br>5.1.<br>You agree to indemnify and hold Foundstone and its subsidiaries, affiliates,<br>officers, agents, and employees harmless from any claim or demand, including<br>attorney's fees, made by any third party due to or arising out of Your use of<br>the Tools, breach of the Terms, or violation of the rights of another.<br><br>6. Intellectual Property Rights<br><br>6.1.<br>The Tools and all names, marks, brands, logos, designs, trade dress and other<br>designations Foundstone uses in connection with the Tools are proprietary to<br>Foundstone and are protected by applicable intellectual property laws,<br>including, but not limited to copyrights and trademarks. Accordingly, You may<br>not modify, reverse engineer, make derivative works of, distribute, transmit<br>or sell any of the Tools, nor may You remove or alter any of Foundstone's<br>trademarks from the Tools or co-brand any of the Tools, without the express<br>written consent of Foundstone.<br><br>7. Miscellaneous<br><br>7.1.<br>California law and controlling United States federal law govern any action<br>related to the Terms. No choice of law rules of any jurisdiction apply. You<br>and Foundstone agree to submit to the personal and exclusive jurisdiction of<br>the California state court located in Santa Ana, California and the United<br>States District Court for the Central District of California.<br><br>7.2.<br>The Terms constitute the entire agreement between You and Foundstone and<br>govern Your use of the Tools, superseding any prior agreements between You and<br>Foundstone (including, but not limited to, prior versions of the Terms).<br><br>7.3.<br>Foundstone controls and operates this website from various locations in the<br>United States of America and makes no representation that these Tools are<br>appropriate or available for use in other locations. If you use this website<br>from locations outside the United States of America, You are responsible for<br>compliance with applicable local laws, including, but not limited to, the<br>export and import regulations of other countries.<br><br>7.4.<br>These Terms and this website could include inaccuracies or typographical<br>errors. Foundstone may make improvements and/or changes to the Terms or the<br>website at any time without notice.<br><br>7.5.<br>The failure of Foundstone to enforce or exercise any right or provision of the<br>Terms does not constitute a waiver of such right or provision.<br><br>7.6.<br>In the event any provision of this Agreement is held to be unenforceable in<br>any respect, such unenforceability shall not affect any other provision of<br>this Agreement, provided that the expected economic benefits of this Agreement<br>are not denied to either party.<br>
2008-06-18
程序汇编加花
加花就是,在程序汇编中,加了一些无用的废话,用来扰乱杀软对特征码的扫描对比,来达到免杀的目的。加花主要用于表面免杀,加花指令它没有改变特征码的位置,但是他改变了程序执行顺序,有的也能改变文件结构。使杀毒软件扫描的时候跳到花指令处,即判断没有病毒 ,一般情况在文件免杀的时候,加花指令是最简单
2008-06-12
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人