AntiSpy

一款功能强大的手工杀毒辅助工具

AntiSpy是一款完全免费,并且功能强大的手工杀毒辅助工具。它可以枚举系统中隐藏至深的进程、文件、网络连接、内核对象等,并且也可以检测用户态、内核态各种钩子。在它的帮助下,我们可以轻松删除各种顽固病毒、木马、Rootkit,还我们一片干净舒适的上网环境。

开发环境

开发工具: Visual Studio 2008用户层: MFC内核层: WDK7600第三方库:Codejock toolkit pro

代码结构

AntiSpy_Root_Dir    ├── LICENSE                         (开源协议)    ├── README.md                       (AntiSpy工程介绍文档)    ├── doc                             (工具介绍,版本更新记录等)    │   ├── Readme.txt    ├── icon                            (AntiSpy软件图标)    │   └── icon.ico    ├── src    │   ├── Antispy                     (AntiSpy主工程代码)    │   │   ├── Common                  (驱动和界面共用的头文件、数据结构等)    │   │   ├── SpyHunter               (AntiSpy用户态界面代码,采用MFC编写)    │   │   ├── SpyHunter.sln           (VS2008工程文件)    │   │   └── SpyHunterDrv            (AntiSpy内核驱动代码)    │   └── ResourceEncrypt             (对驱动等资源进行加密的工程)    │       ├── ResourceEncrypt    │       ├── ResourceEncrypt.sln    │       └── clear.bat    └── tools        ├── ResourceEncrypt.exe         (已经编译好的加密工具)    └── TestTools.exe               (测试AntiSpy安全能力是否可用的工具)

功能介绍

AntiSpy目前实现的功能如下,包括但不限于:

进程管理器

1、查看进程线程、模块、窗口、内存、热键、定时器、权限等信息;2、查看进程运行时间、命令行、当前目录、PEB等信息;3、关闭进程、关闭线程、卸载模块、拷贝进程内存,查找进程模块;4、创建进程调试DUMP;5、往进程中注入模块;6、扫描进程Ring3钩子;

各种钩子查看及恢复

1、常见内核钩子的查看和恢复,包括SSDT、Shadow SSDT、FSD、键盘、鼠标、TCPIP、Classpnp、Atapi、Acpi、IDT、Object hook、内核入口等;2、内核模块的iat、eat、inline hook、patches检测和恢复;3、用户层消息钩子的查看和卸载;4、CreateProcess、CreateThread、LoadImage、Registry、Shutdown等Notify Routine信息查看和删除;

内核对象查看及管理

1、内核驱动模块的查看,内核驱动模块的内存拷贝,卸载驱动内核模块;2、DPC和IO定时器等内核定时器的查看和删除;3、系统线程的查看和结束;4、WorkerThread信息查看;5、内核调试寄存器的查看和恢复;6、磁盘、卷、键盘、网络层等过滤驱动的枚举;7、内核对象劫持检测;8、直接IO进程的检测和恢复;

注册表编辑器

1、通过解析原始hive,能够查看和编辑隐藏的注册表键值;2、快速定位到最常用的注册表键

文件管理器

1、展示文件基本信息,包括文件名、文件属性、文件大小等;2、快速定位到最常用的文件夹;3、通过IRP底层操作,查看和编辑隐藏的文件;4、查看和删除被锁定的文件和文件夹;5、计算文件hash及文件比较器;

系统服务管理器

1、系统服务的枚举和操作,可以枚举隐藏的服务;2、对系统服务进行管理,比如更改启动顺序,启动状态等;

开机自启动项管理

1、能够枚举系统中几乎所有的开机启动项;2、管理启动项,包括停止、运行、永久删除;

网络信息管理

1、查看应用程序的联网情况,包括端口、远程地址等信息;2、对hosts文件的查看、编辑和重置为默认;3、查看和修复系统LSP信息;

其他一些常用功能

1、系统用户、隐藏用户的枚举和删除2、禁止创建进程、禁止创建线程、禁止加载驱动等反病毒选项3、解锁注册表、任务管理器、命令解释器等4、修复安全模式5、以16进制形式查看和编辑系统内存和进程内存6、反汇编系统内存和进程内存7、MBR病毒的检测和修复8、常用文件关联项的枚举和修复9、映像劫持的检测和修复10、IME输入法的枚举和管理11、反间谍记录器,包括反截屏记录器等

用户操作界面

进程管理

进程菜单

网络连接管理

文件管理

自动运行软件管理

许可证协议

该工具的开发与发布遵循Mulan PSL v1开源许可证协议。

项目地址

AntiSpy:https://github.com/mohuihui/antispy

*参考来源:mohuihui,FB小编Alpha_h4ck编译,转载请注明来自freebuf.COM