Syscheck2(1.0.0.69)
[ 2009/05/21 21:28 | by selboo ]
syscheck(1.0.0.69)
修正一处文字错误,将强制删除功能添加到服务页及文件查看页右键上。
修正活动文件页的修复并删除文件在文件已不存时不清理注册表的BUG。
syscheck2 反黑辅助说明:
本软件适用于Win2000,winxp及Win2003。以下为功能的简要说明。
1:进程管理
红色显示的是非系统的进程或文件。点击一个进程可以列出进程包含的模块。你可以中止包括系统进
程在内的所有进程,但不推荐你去中止第一个svchost.exe前的进程(包括第一个svchost.exe)。这样做的
后果可能是导致系统重启或无法关机。
syscheck的进程管理页可列出win32级的隐藏进程,但不会特别标注它。
通常在手动杀毒中会结束那些红色显示的进程,很多全局钩子会插入到Explorer等系统进程中(注意模
块中的红色dll),所以有时也会结束这些系统进程以便删除病毒。为避免病毒进程的重复加载,可以勾选
<限制线程的创建>来禁止新的线程。
在进程管理页的模块显示栏中右键选项有属性,删除到回收站,加入到重启删除列表三项,可以方便在
进程显示页就分析、清理恶软或木马。
<删除到回收站> 会结束该模块的主进程后删除模块列表中选定的文件,支持多选。
<卸载模块并删除文件> 在删除全局HOOK的DLL时可能会用到。
<加入到重启删除列表> 直接将选定的文件重启后删除。(注意不要把系统DLL删了)建议只对红色显
示的非系统模块进行删除处理。
<永久禁止此文件的执行> 即软件限制策略,仅对exe文件有效。注意,过多地限制软件的执行可能会
影响系统运行效率。
2:服务管理
红色显示的非系统服务。单击列表标题可以排序以便快速查找新增的系统服务。对于以svchost.exe启
动的服务,文件路径显示的是该服务文件而非svchost.exe的路径。这一点区别于sc命令显示出来的文件
路径。
中止服务功能是仅在系统重启前中止服务,并不是永久性的中止服务。而删除服务则是删除服务键值(
不提供删除前的保存。所以,要删除你得自已去确定是否真要这么做)。
值得注意的是,某些服务是无法中止或删除的(比如划词搜索的驱动服务)。这是因为它可能采用了注
册表键值的保护。对付这类服务,要使用内核Hook检查中的ssdt恢复功能后,
才能在本页中删除其键值。(要注意的是,某些服务不提供终止服务,所以删除服务后它可能仍在运行,
需要重启才真正停止)
在服务页使用右键可获得更多的服务控制。
3:活动文件
活动文件页显示了包括启动项在内的容易被侵入改写的注册表键值。syscheck仅关注于改写了的键值
,所以不同的机器上显示内容并不一样。
在做恢复前,可以核对一下讯息栏显示的内容,以确定是否要恢复。对于没有讯息显示的项目可以定位
文件查看文件的属性。
要注意的是,syschek在本页中的恢复不仅仅是改回系统默认值(或删除不需要的键值),如果需要恢
复的是一个DLL文件工作的键值,syschek还会做反注册该DLL的工作。
Winsock检测用于检测Lsp被劫持的情况,不管是否检测到第三方的DLL是否加载,也允许用户强制恢
复Winsock。所以,也可以用来作其它检测修复工具破坏掉了Winsock引起网页不能浏览的恢复处理。
4:敏感键值
本页显示的内容是没有对应文件的系统键值。这些是系统允许的,但有改写后可能造成你使用不便的
键值(如NoRun等,文件关联改写)等。
5:内核Hook检测
内核Hook检测只关注于被Hook了的内核函数,一般来说对应的模块提供者是一个.sys文件。
以划词搜索为例,它的驱动交叉保护(注册表HOOK及文件HOOK),自身的卸载与其它的卸载工具都不能删
除hcalway.sys及abhcop.sys.sys文件(且卸载后这两个驱动还在运行中,所以,你无法直接删除这两个文
件。
对付这样的系统底层驱动,可以勾选并恢复成系统默认函数以使其驱动保护失效。要注意的是,大部
份的杀软也注册有底层HOOK,如果你选择了它们,还原后至重启前这些杀软的实时监视将可能失效。
恢复系统底层原始函数地址后,就可以在服务管理页删除划词搜索的注册表服务项了(恢复前由于受
其驱动abhcop.sys的保护,是无法删除其注册的服务项)。然后重启机器(系统无法删除一个运行中的文
件,而划词的驱动又不停供停止功能,所以只能重启),就可以手动删除这两个文件了(当然也可以用内置
的资源管理器中的<加入重启删除列表>功能,来代替手动删除的操作)。
由于底层Hook的优先级很高,所以恢复了SSDT后,可能会有一些隐藏的进程或文件会显示出来,故可
以在恢复SSDT后再次观察各检测页状况以删除受这些驱动隐藏、保护的进程,注册表项等。
6:文件搜索
通过限制一定条件搜索,以便清除系统中的病毒备份或找到未知病毒。
7:文件浏览
由于syscheck采用了一些反HOOK手段,所以内置的资源管理器可以看到隐藏的文件或文件夹(例如灰
鸽子、hackdef100隐藏的文件)。这样方便你做删除文件的工作。对于利用系统本身特性隐藏的文
件(如Downloaded Program Files),内置资源管理器也可一览无遗。
内置资源管理器用法与Explorer基本相同,右键菜单除了普通的删除操作外,还有延时删除(重启后
生效),可用于删除顽固文件。(注意这个选项没有后悔药,删除前多看一眼文件属性,修改日期等讯息
,不要把受保护的系统文件也删了!)。
下载文件 (已下载 353 次)
修正一处文字错误,将强制删除功能添加到服务页及文件查看页右键上。
修正活动文件页的修复并删除文件在文件已不存时不清理注册表的BUG。
syscheck2 反黑辅助说明:
本软件适用于Win2000,winxp及Win2003。以下为功能的简要说明。
1:进程管理
红色显示的是非系统的进程或文件。点击一个进程可以列出进程包含的模块。你可以中止包括系统进
程在内的所有进程,但不推荐你去中止第一个svchost.exe前的进程(包括第一个svchost.exe)。这样做的
后果可能是导致系统重启或无法关机。
syscheck的进程管理页可列出win32级的隐藏进程,但不会特别标注它。
通常在手动杀毒中会结束那些红色显示的进程,很多全局钩子会插入到Explorer等系统进程中(注意模
块中的红色dll),所以有时也会结束这些系统进程以便删除病毒。为避免病毒进程的重复加载,可以勾选
<限制线程的创建>来禁止新的线程。
在进程管理页的模块显示栏中右键选项有属性,删除到回收站,加入到重启删除列表三项,可以方便在
进程显示页就分析、清理恶软或木马。
<删除到回收站> 会结束该模块的主进程后删除模块列表中选定的文件,支持多选。
<卸载模块并删除文件> 在删除全局HOOK的DLL时可能会用到。
<加入到重启删除列表> 直接将选定的文件重启后删除。(注意不要把系统DLL删了)建议只对红色显
示的非系统模块进行删除处理。
<永久禁止此文件的执行> 即软件限制策略,仅对exe文件有效。注意,过多地限制软件的执行可能会
影响系统运行效率。
2:服务管理
红色显示的非系统服务。单击列表标题可以排序以便快速查找新增的系统服务。对于以svchost.exe启
动的服务,文件路径显示的是该服务文件而非svchost.exe的路径。这一点区别于sc命令显示出来的文件
路径。
中止服务功能是仅在系统重启前中止服务,并不是永久性的中止服务。而删除服务则是删除服务键值(
不提供删除前的保存。所以,要删除你得自已去确定是否真要这么做)。
值得注意的是,某些服务是无法中止或删除的(比如划词搜索的驱动服务)。这是因为它可能采用了注
册表键值的保护。对付这类服务,要使用内核Hook检查中的ssdt恢复功能后,
才能在本页中删除其键值。(要注意的是,某些服务不提供终止服务,所以删除服务后它可能仍在运行,
需要重启才真正停止)
在服务页使用右键可获得更多的服务控制。
3:活动文件
活动文件页显示了包括启动项在内的容易被侵入改写的注册表键值。syscheck仅关注于改写了的键值
,所以不同的机器上显示内容并不一样。
在做恢复前,可以核对一下讯息栏显示的内容,以确定是否要恢复。对于没有讯息显示的项目可以定位
文件查看文件的属性。
要注意的是,syschek在本页中的恢复不仅仅是改回系统默认值(或删除不需要的键值),如果需要恢
复的是一个DLL文件工作的键值,syschek还会做反注册该DLL的工作。
Winsock检测用于检测Lsp被劫持的情况,不管是否检测到第三方的DLL是否加载,也允许用户强制恢
复Winsock。所以,也可以用来作其它检测修复工具破坏掉了Winsock引起网页不能浏览的恢复处理。
4:敏感键值
本页显示的内容是没有对应文件的系统键值。这些是系统允许的,但有改写后可能造成你使用不便的
键值(如NoRun等,文件关联改写)等。
5:内核Hook检测
内核Hook检测只关注于被Hook了的内核函数,一般来说对应的模块提供者是一个.sys文件。
以划词搜索为例,它的驱动交叉保护(注册表HOOK及文件HOOK),自身的卸载与其它的卸载工具都不能删
除hcalway.sys及abhcop.sys.sys文件(且卸载后这两个驱动还在运行中,所以,你无法直接删除这两个文
件。
对付这样的系统底层驱动,可以勾选并恢复成系统默认函数以使其驱动保护失效。要注意的是,大部
份的杀软也注册有底层HOOK,如果你选择了它们,还原后至重启前这些杀软的实时监视将可能失效。
恢复系统底层原始函数地址后,就可以在服务管理页删除划词搜索的注册表服务项了(恢复前由于受
其驱动abhcop.sys的保护,是无法删除其注册的服务项)。然后重启机器(系统无法删除一个运行中的文
件,而划词的驱动又不停供停止功能,所以只能重启),就可以手动删除这两个文件了(当然也可以用内置
的资源管理器中的<加入重启删除列表>功能,来代替手动删除的操作)。
由于底层Hook的优先级很高,所以恢复了SSDT后,可能会有一些隐藏的进程或文件会显示出来,故可
以在恢复SSDT后再次观察各检测页状况以删除受这些驱动隐藏、保护的进程,注册表项等。
6:文件搜索
通过限制一定条件搜索,以便清除系统中的病毒备份或找到未知病毒。
7:文件浏览
由于syscheck采用了一些反HOOK手段,所以内置的资源管理器可以看到隐藏的文件或文件夹(例如灰
鸽子、hackdef100隐藏的文件)。这样方便你做删除文件的工作。对于利用系统本身特性隐藏的文
件(如Downloaded Program Files),内置资源管理器也可一览无遗。
内置资源管理器用法与Explorer基本相同,右键菜单除了普通的删除操作外,还有延时删除(重启后
生效),可用于删除顽固文件。(注意这个选项没有后悔药,删除前多看一眼文件属性,修改日期等讯息
,不要把受保护的系统文件也删了!)。
下载文件 (已下载 353 次)免费瑞星杀毒软件-Google版
[ 2009/01/31 15:53 | by selboo ]
瑞星杀毒软件 (Google专版)
查杀已知/未知病毒,病毒库升级及时全面
全面系统保护,漏洞扫描/修补
http://pack.google.com/intl/zh-cn/pack_installer.html?hl=zh-cn&gl=cn
查杀已知/未知病毒,病毒库升级及时全面
全面系统保护,漏洞扫描/修补
http://pack.google.com/intl/zh-cn/pack_installer.html?hl=zh-cn&gl=cn
ESET NOD32防病毒360专用版
[ 2008/09/24 11:44 | by selboo ]
ESET NOD32防病毒软件是一款拥有16年历史的防病毒产品,在国际网络安全行业享有极高的声誉。它采用独有的高级启发式引擎,对广告软件、Root Kit、间谍软件、木马、病毒、蠕虫等恶意软件具有极高的侦测率,能够为您的数据安全,个人隐私等提供有效的防护,360安全中心独家为您提供ESET NOD32防病毒360专用版半年免费激活码。
如何领取免费激活码
ESET NOD32通过第50次 VB100 权威测试
[ 2008/06/10 07:34 | by selboo ]
北京时间6月3日,国际权威病毒测试机构Virus Bulletin发布了其最新一期的测试结果,测试报告显示,本次共有15款当前世界范围内最主流的杀毒软件参与,而其中有7款未通过本次测试,在业界一直以“轻、快、准、狠”而著称的ESET NOD32顺利通过了本次测试,而且,这也是ESET NOD32第50次通过VB100的认证。
就此国际专业技术人士评论认为,自1998年开设VB100认证以来,ESET NOD32能在10年间一共获得50次VB100的认证,是具有非同一般的意义的,因为这不仅仅是权威机构对ESET NOD32的认可和赞誉,更是见证了杀毒软件技术的不断变革与进步,第50次认证,本身就是历史性的一次,同样,这一至高无上的荣耀,也对整个杀毒软件回归技术的一种认同。
严格而又公正的VB100测试认证,是任何一款杀毒软件技术实力的一次展示,同时,通过这一认证,不仅是消费者选择杀毒软件的一个重要评判标准,也能够加强用户对其的信任,因此,几乎所有著名的杀毒软件,都将这一认证视为至高无上的安全标准,咬紧牙关也要通过。但是,要想通过VB100的认证,并非易事,在100%的检测率和零误报面前,有很多大牌厂商,都曾经在此失手,被斩落马下。
因为通过VB100的测试,就意味着这款杀毒软件能够在不同的操作平台下,拦截所有现实世界里的任何病毒,而要连续通过,更是难上加难。由于计算机病毒滋生速度非常快,而杀毒软件没有强劲的防护技术能力,不能防患于未然,就无法抵御流行病毒和最新病毒的入侵,VB100的测试结果,却能从侧面反映出杀毒软件背后厂商在未知病毒查杀方面的技术水准与实力。
而ESET NOD32凭借其世界领先的高级启发式ThreatSense?引擎对未知病毒的查杀能力,通过动态启发、静态启发两种扫描方式,能够轻松检测出所有当前流行的新病毒和未知病毒,并且,拦截率比同类产品高出将近60%。在本次的测试结果颁布之后,VB就公开评价:通过测试结果我们可以看出,自1998年5月份开始,ESET NOD32是唯一一款没有遗漏世界范围内任何蠕虫病毒的杀毒软件。
ESET NOD32通过50次VB100的认证,虽不敢说是后无来者,但至少是前无古人,对于一款近年来异军突起的防病毒软件,其实力不可小觑,在一次次的严格测试中,均经受住的考验,表现不凡。能够在不同的测试平台、面对最新的病毒样本,连续通过50次,强有力的证明了ESET NOD32的卓越查杀能力和技术的成熟与稳定性,这也成为消费者选择ESET NOD32最好的理由。
杀毒软件风雨走来的10几年时间里,从最初的病毒库查杀到现在广被推崇的主动防御,都一一被VB100所见证。而ESET NOD32所尊崇的不依靠病毒库、运用启发式技术,针对不同的病毒环境使用多种病毒检测手段来全面查杀已知和未知的病毒,并一举将那些极具危险性的恶意行为拒之门外,彻底消除了零日攻击的威胁,有效防止病毒入侵等等防护措施,通过VB100的测试,向消费者深入阐释了主动防御的内涵与作用,而通过这50次的认证,也仅仅是翻开了杀毒软件发展阶段新的篇章,也标志着主动防御这一概念和技术,被真正落到了实处。
卡巴斯基KIS/KAV 2009 cn 8.0.0.316RC1 附破解
[ 2008/04/04 18:12 | by selboo ]
破解补丁
http://ishare.iask.sina.com.cn/cgi-bin/fileid.cgi?fileid=3342133
Kaspersky Internet Security/Kaspersky Anti-Virus 2009(8.0.0.316) 汉化版
说明:
1、采用卡巴斯基官方 8.0.0.316 Beta 英文版汉化集成;
2、全程中文安装;
3、支持中、英文切换Shift+F5/F12;
PS:安装激活时请选择“激活 beta 版”即可激活。
KAV版本增加了反网络钓鱼组件
BY-麦田守望者 2008.4.4
KIS:
http://xz.vc52.cn/Download/kis.8.0.316.cn.rar
http://www.fs2you.com/files/21c78294-0213-11dd-946b-0014221f4662
KAV:
http://xz.vc52.cn/Download/kav.8.0.316.cn.rar
http://www.fs2you.com/files/cc62e3e1-0215-11dd-bca2-0014221f3995
8.0.0.316MD5值:
d1c13f3d73f535ed1aada9e8382c9b5a kav.8.0.316.cn.msi
845836d25dd3cf501c0c3525bc3ae57a kis.8.0.316.cn.msi
