Lightning(kxsystem@163.com)  // The same as 闪电风暴@ikaka.com

鉴于目前木马群泛滥，木马文件屡删不尽的情况，我开发了一个自动化病毒特征的提取工具KsCodeFilter，它在学习了大量正常文件之后将指定病毒中的一些特征码提取出来供扫描使用，可以配合KsFileScanner批量扫描出木马自身复制的文件，也可以将特征公布，用作病毒扫描。
此程序专门为有一定反病毒基础的人群设计，没有反病毒经验的请勿尝试！
经测试，KsCodeFilter 扫描微型正常特征库（约8MB，我收集的一些系统文件）后，再探测病毒\木马文件时能较为准确地提取出特征，目前没有发现误报现象，但是仍然不排除误报的可能。根据不可靠的推算，保守估计本程序在此特征库下误报率不会超过二十万分之一。
注意：Lightning不会对可能产生的误报负责。

本程序暂时处于特征库收集阶段，不公开发布主程序，特征库健全后将要公布程序和特征库。
如果您想先试试，请单独发EMail 至: kxsystem@163.com
索取
正常文件特征库上报标准：
1、文件体积不能太大，最好控制在300KB以下
2、各种常见软件的PE文件（即后缀为.exe .dll .sys .ocx等等的可执行文件），最好加过各种不同的壳。
3、文件不要涉及病毒\反病毒。
上报可直接发到我邮箱：（RAR格式，不用加密码）
kxsystem@163.com
请注明“特征上报”。





程序界面：



使用方法 ：（程序发布之后再看这些）
1、启动程序，选择正常文件目录，注意此目录不能太大，平均8MB的文件大约需要100MB内存，所以尽量选择短小的程序集。点击“开始扫描”，耐心等待扫描完成。
2、设置程序参数，如提取特征的长度
3、在第二个框中选择病毒\木马文件路径，点击“开始提取”。
4、将病毒特征提取出来之后，舍弃偏移量较小的那几个，尽量选择特征较长的那个。

特征例子（上图中不需要那些作为说明的文字，只要类似于下图的东西即可）：
<C6 44 24 14 01 8B CF E8 B2 B6 00 00 C7 07 D8 42 41 00 8D BE D4 00 00 00 C6 44 24 14 02 8B CF E8 9A B6 00 00 8B 4C 24 0C C7 07 D8 42 41 00 C7 06 7C 35 41 00 8B C6 5F 5E 64 89 0D 00 =!32#RemoteShell.exe [1148]>

其中你能看到的十六进制码就是这个文件的一个特征，你可以用WinHex进行一个个文件的匹配，不过你会感觉到这样非常累，还不如去验MD5。为此，我有一个已经公开的免费程序KsSuperSword（或者使用KsFileScanner），其中的KsFileScanner和KsScanMemory就负责这种特征的批量扫描（一个扫描文件，另一个扫描内存），扫描速度基本上要比WinHex要快，由于特征较少，也要比杀毒软件快很多。

扫描完成后，全选中后点击“删除”即可将病毒文件删除（此处不排除误报，使用这个功能要小心）。不过确认后，最好点击“复制程序路径”，然后交给XDelBox处理。

此为KsSuperSword图：（这是用上面的特征对D盘27910文件，4.25GB扫描的结果，可以看出仅仅扫出了病毒本身）




注意：KsSuperSword包含驱动，可能会在一些系统中崩溃。已经提供KsFileScanner的下载。
KsCodeFilter仅仅使用了KsFileScanner的一部分功能（我在《目前流行木马病毒技术原理及防范概观》http://bbs.ikaka.com/showtopic-8431329.aspx 一文提到过，感谢轩辕小聪），完整的功能见：
http://hi.baidu.com/aegisys/blog/item/8dedb02fda52453d1f308997.html


Lightning软件下载请到我的BLOG：
http://hi.baidu.com/aegisys

KsFileScanner下载：

附件: KsFileScanner(1.25).rar (2008-7-11 10:10:24, 61.09 K)
该附件被下载次数 362

用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9) Gecko/2008052906 Firefox/3.0

自己顶起。。。

对收集系统可疑的文件有很大的帮助呀！