近段时间anti-rookit 比较火爆。。。。我也想做个“山寨”的anti rookit Tool, 练练手 。。。
大体规划下功能。。。
进程相关:
1.Ring3枚举进程和相关的module信息。。
2. Ring0下枚举进程、进程的线程、 以及module信息。。
3. Ring0 下结束进程。。。争取能够结束瑞星、金山的主进程。。
4. 应用层结束线程。。核心态结束线程 卸载moudle。
5. 进程监控。。(hips)
SSDT 操作
1. ssdt枚举
2. ssdt 恢复。
注册表操作
1. Hive解析
2. 关键位置监控
上面的部分争取在5.1时完成。。。。。
还有
文件管理、
1.彻底检测所有隐藏文件
2.强制删除文件功能
磁盘编辑
简单防火墙
作为第二部分