AntiSpy：一款功能強大的反病毒&反Rootkit免費工具套件

• 2019 年 12 月 23 日
• 筆記

一款功能強大的手工殺毒輔助工具

AntiSpy是一款完全免費，並且功能強大的手工殺毒輔助工具。它可以枚舉系統中隱藏至深的進程、文件、網絡連接、內核對象等，並且也可以檢測用戶態、內核態各種鉤子。在它的幫助下，我們可以輕鬆刪除各種頑固病毒、木馬、Rootkit，還我們一片乾淨舒適的上網環境。

開發環境

開發工具: Visual Studio 2008 用戶層: MFC 內核層: WDK7600 第三方庫：Codejock toolkit pro

代碼結構

AntiSpy_Root_Dir      ├── LICENSE                         (開源協議)      ├── README.md                       (AntiSpy工程介紹文檔)      ├── doc                             (工具介紹，版本更新記錄等)      │   ├── Readme.txt      ├── icon                            (AntiSpy軟件圖標)      │   └── icon.ico      ├── src      │   ├── Antispy                     (AntiSpy主工程代碼)      │   │   ├── Common                  (驅動和界面共用的頭文件、數據結構等)      │   │   ├── SpyHunter               (AntiSpy用戶態界面代碼，採用MFC編寫)      │   │   ├── SpyHunter.sln           (VS2008工程文件)      │   │   └── SpyHunterDrv            (AntiSpy內核驅動代碼)      │   └── ResourceEncrypt             (對驅動等資源進行加密的工程)      │       ├── ResourceEncrypt      │       ├── ResourceEncrypt.sln      │       └── clear.bat      └── tools          ├── ResourceEncrypt.exe         (已經編譯好的加密工具)      └── TestTools.exe               (測試AntiSpy安全能力是否可用的工具)

功能介紹

AntiSpy目前實現的功能如下，包括但不限於：

進程管理器

1、查看進程線程、模塊、窗口、內存、熱鍵、定時器、權限等信息； 2、查看進程運行時間、命令行、當前目錄、PEB等信息； 3、關閉進程、關閉線程、卸載模塊、拷貝進程內存，查找進程模塊； 4、創建進程調試DUMP； 5、往進程中注入模塊； 6、掃描進程Ring3鉤子；

各種鉤子查看及恢復

1、常見內核鉤子的查看和恢復，包括SSDT、Shadow SSDT、FSD、鍵盤、鼠標、TCPIP、Classpnp、Atapi、Acpi、IDT、Object hook、內核入口等； 2、內核模塊的iat、eat、inline hook、patches檢測和恢復； 3、用戶層消息鉤子的查看和卸載； 4、CreateProcess、CreateThread、LoadImage、Registry、Shutdown等Notify Routine信息查看和刪除；

內核對象查看及管理

1、內核驅動模塊的查看，內核驅動模塊的內存拷貝，卸載驅動內核模塊； 2、DPC和IO定時器等內核定時器的查看和刪除； 3、系統線程的查看和結束； 4、WorkerThread信息查看； 5、內核調試寄存器的查看和恢復； 6、磁盤、卷、鍵盤、網絡層等過濾驅動的枚舉； 7、內核對象劫持檢測； 8、直接IO進程的檢測和恢復；

註冊表編輯器

1、通過解析原始hive，能夠查看和編輯隱藏的註冊表鍵值； 2、快速定位到最常用的註冊表鍵

文件管理器

1、展示文件基本信息，包括文件名、文件屬性、文件大小等； 2、快速定位到最常用的文件夾； 3、通過IRP底層操作，查看和編輯隱藏的文件； 4、查看和刪除被鎖定的文件和文件夾； 5、計算文件hash及文件比較器；

系統服務管理器

1、系統服務的枚舉和操作，可以枚舉隱藏的服務； 2、對系統服務進行管理，比如更改啟動順序，啟動狀態等；

開機自啟動項管理

1、能夠枚舉系統中幾乎所有的開機啟動項； 2、管理啟動項，包括停止、運行、永久刪除；

網絡信息管理

1、查看應用程序的聯網情況，包括端口、遠程地址等信息； 2、對hosts文件的查看、編輯和重置為默認； 3、查看和修復系統LSP信息；

其他一些常用功能

1、系統用戶、隱藏用戶的枚舉和刪除 2、禁止創建進程、禁止創建線程、禁止加載驅動等反病毒選項 3、解鎖註冊表、任務管理器、命令解釋器等 4、修復安全模式 5、以16進制形式查看和編輯系統內存和進程內存 6、反彙編系統內存和進程內存 7、MBR病毒的檢測和修復 8、常用文件關聯項的枚舉和修復 9、映像劫持的檢測和修復 10、IME輸入法的枚舉和管理 11、反間諜記錄器，包括反截屏記錄器等

用戶操作界面

進程管理

進程菜單

網絡連接管理

文件管理

自動運行軟件管理

許可證協議

該工具的開發與發佈遵循Mulan PSL v1開源許可證協議。

項目地址

AntiSpy：https://github.com/mohuihui/antispy

*參考來源：mohuihui，FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM