3600safe的设计思想是,作为一款anti-rootkit软件(jiàn),3600safe的清(qīng)理(lǐ)目标定位是rootkit,所以3600safe使用了比rootkit更流氓,更主动的(de)方式来检(jiǎn)查rootkit/virus,正好验证了(le)一句话:要对付流氓(máng),就要用比流氓更(gèng)为流氓的方法,因(yīn)此使用了(le)大量内核技术。由于时间匆忙,内核方面(miàn)的(de)功(gōng)能都处于beta阶(jiē)段,所以(yǐ)在使用过程中,如(rú)果发生由(yóu)本工具直接或者(zhě)间接导致(zhì)的问题,由使用(yòng)者负责。
众所(suǒ)都知,360安全(quán)卫士是一款云端控制,卸载不干净,随(suí)时都有可能窃(qiè)取用户(hù)隐私的行为(wéi)的流氓软件。
因为(wéi)360安全卫士装机量大(dà),低端(duān)用户多,这种可疑的“窃取用户隐(yǐn)私(sī)的行为”严重威胁到了(le)互联网的安(ān)全与发(fā)展。
3600safe在这(zhè)样的大前提(tí)下,提供了(le)“一键卸载360”,却(què)惨遭360的狙杀,恶(è)意(yì)打击。
要使(shǐ)用3600safe提供的“一键卸载360”功能的(de)时候,请(qǐng)用户(hù)断开网(wǎng)络,避免360云端控制。
断网之后,就可以使用“一键卸载360”功能了。
SSDT ->粉(fěn)红色(sè)为当前(qián)函数(shù)被挂(guà)钩
ShadowSSDT ->粉红色为(wéi)当前(qián)函数被挂钩
内(nèi)核模(mó)块(kuài) ->粉红色为(wéi)当前内核模块文件被(bèi)删除/褐(hè)色为(wéi)无法验证(zhèng)当前内核模块(kuài)文件的(de)MD5是否原生(shēng)系统文件
内核hook ->粉红色(sè)为(wéi)当前(qián)函(hán)数被挂钩
Object钩(gōu)子 ->粉红色为当前函数被挂钩
ntfs/Fsd ->粉红色为当(dāng)前函数被挂钩(gōu)
防御日志(zhì) ->粉红(hóng)色为未(wèi)知文件来源(yuán)的启动模块或者进程(chéng)
网络连接 ->褐色为(wéi)当前tcp网络是处于连接(jiē)状态
系(xì)统进程 ->粉(fěn)红色为隐藏进(jìn)程/褐色为(wéi)无法(fǎ)验证当前内(nèi)核(hé)模块文件的MD5是否(fǒu)原生系(xì)统文件
系(xì)统服务 ->粉红色为隐藏服务(wù)/褐色(sè)为当前服务是启动状(zhuàng)态(tài)
2012-02-16 3600safe v0.1beta11:
修(xiū)复(fù):
1:修复自我保护代码的一个bug(严重感谢 乱码 的测试)
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-02-16 3600safe v0.1beta10:
"3600safe v0.1beta10" 版本MD5:aed6acb52adf6e2fdb10a3cdd311b181
新增:
防御日(rì)志
导出防御(yù)日志
Tcpip
查看(kàn)tcpip.sys函数
脱(tuō)钩所选函数
复制tcpip.sys函数到剪贴板
Nsiproxy
查看(kàn)Nsiproxy.sys函(hán)数
脱钩所选函数
复制Nsiproxy.sys函数到剪(jiǎn)贴板(bǎn)
其他:
最(zuì)小化到系统托盘(pán)
增加(jiā)了对(duì)win7 home/旗舰(jiàn)版sp1 的(de)系统原生文(wén)件验证
木马启动防御
修复:
1:修复“一键(jiàn)卸载360”功能时(shí)重(chóng)载(zǎi)ntfs的(de)bug
2:修(xiū)复win7 sp1 旗舰版退出时蓝屏bug
3:优化内核模块若干代码逻辑
4:优化查(chá)看网络连接代码(mǎ)
5:修(xiū)复了win7旗舰版sp1下无法查看tcp端口的bug
6:优化(huà)自我保(bǎo)护代(dài)码逻(luó)辑
7:重写了防御(yù)日志模块(kuài)的内核(hé)代码
