1   1  /  1  页   跳转

[原创] Yas Anti Rootkit 查杀高级木马工具

Yas Anti Rootkit 查杀高级木马工具


Yas Kit 是一款基于内核和底层技术的反黑辅助工具..它采用大量的内核技术和底层操作,让你可以轻松的找出病毒并且杀之...它适用于XP和2003系统..当然使用Yas Kit需要用户具备一定相关的知识...
注意: Yas的正常运行依赖于 sysdll_2006.dll和Sysnap_2006.sys...程序运行时会在system32目录下释放这俩个文件..一些主动防御系统会视为病毒.可以不理会之..还有NOD也会误报,添加信任程序就可以了

保证与免责声明
  Yas Kit是Sysnap开发的免费工具软件,
Sysnap不保证本软件没有错误,在使用过程的任何后果需要自己负责.但欢迎有把错误报告给我.以便修正..
  如果一运行就崩溃...可以把名字改为NoPs yas.exe或者NoDrv yas.exe看看...因为可能是yas 的驱动对你的操作系统支持不是很好.尽管如此,yas不用驱动也有很强大的功能..只要你把名字改为NoDrv yas.Exe,这样就不会加载驱动了.
软件功能
主界面: 包括进程管理, 注册表管理, 文件管理, 启动项管理, 钩子检测, 内核模块, 内核其他, 行为监控 
主菜单包括: 工具( 包括,进程内存状态, SPI, BHO等查看) 设置 和关于

进程:
包括检测隐藏进程..对非系统进程进行表示...数字签名验证..可以在线查询进程信息..检测隐藏DLL和排除正常DLL等等
具体使用: 1 电脑中了病毒...但用一般进程管理器看不出什么特别进程...但用yas可以发现一个隐藏进程..隐藏进程我会用红色表示出来...把那红色的结束掉就可以了
          2. 没发现隐藏进程,系统还是异常,这时候点右键,数字签名,比如看到userinit.exe没通过数字签名啊,但这个是系统的进程,那可能是被替换了,解决办法是去干净机器找个干净的替换掉
          3 一个病毒用" 线程注入" 方式注入了explorer.Exe,那可能一般会比较难找,YAS在列DLL时排除了一些以知DLL,这样你可以很清楚的看到注入的DLL,或者不确定的..右键"百度查询"或者" 数字签名",如果确定是病毒DLL,可以把它卸载掉或者强制卸载.,但这中方式不支持使用,因为可能造成进程死掉,所以可以用右键""直接删除文件"  这样再重起就行了
          4 如果你想列出一个进程的所有DLL,包括隐藏的,可以用" 显示所有DLL",这样的化如果有病毒使用ROOTKIT技术隐藏了DLL就会被YAS找出来
          5 如果想看一个进程有多少个线程,也可以通过yas的进程管理器查看

文件管理:
可能大家会觉得yas的文件管理界面不是很友好,但其强大的内部功能不是一般文件管理器比拟的了的,底层的操作可以检测到许多的隐藏文件,强制删除很多顽固的文件...
      1系统有一个病毒进程,依照路径就是找不到它的文件,那可能是使用rootkit技术把自己隐藏起来了,这时候用yas的文件管理就可以清楚的看到了.
      2 想把病毒文件删掉,但老是删不掉,可能是病毒正在运行,这时候你使用 "强制结束" 就可以删除了,当然从删文件这一过程来说,可以防删的办法有很多,这个后面说明
      3 我只想看EXE或者DLL文件,那可以点最下面的选择,这样YAS会自动过滤,
      4 那么多文件...哪些是正常的...你可以用数字签名看看........但可能速度会比较慢,那些非数字签名的,可以 "百度查询" 看别人怎么说
      5 文件被感染可以找出来吗,可以,但扫描可能扫不出来,这个时候你用 "PE文件信息" 就可以查到相关信息了,比如一个文件代码节内被注入了代码,或者添加了新节同时也会列出IAT相关函数方便查看.
      6  一个病毒删不掉啊,一删就有,这个时候你应该试试yas的"破坏文件",再重起看看效果...
注册表管理:
yas的注册表比较简单,提供的操作也比较少,但没关系,因为yas的注册表功能在检测隐藏注册表方面是非常出色的,当然稳定性差了点,但经过修改后基本稳定了,而且速度也比较块..有实时性,如果你用很多的注册表管理工具找不出什么东西出来,可以试试YAS的注册表,它可以让你看到最原始的注册表数据,发现异常后可以删除之,提供了REG文件导出,导出后你做下修改再导入就可以达到修改注册表的目的了,一般来说效果是不错的..


启动项管理: 用户可以发现可疑的自启动程序并关闭它。因为一般病毒的启动是通过修改注册表的,只要我们发现并删除,病毒自然就不能自己启动了,yas提供了常见的注册表启动项查看,比如你发现某个病毒的启动项,只要"跳转到注册表" 就可以利用regedit来操作了.


钩子检测:
yas提供了多种类型的钩子检测.什么是钩子: 钩子就是修改系统正常执行流程的一段代码,通过改变系统执行流程来达到一些目的,比如隐藏文件,隐藏进程,防止进程结束等等. Yas 提供的钩子检测有  SSDT  / SHADOW SSDT / IDT / 内核模块IAT/ 内核EAT/ FSD / IRP / 内练钩子...还有一般的用户态钩子,比如IAT/EAT 消息钩子...

SSDT:修改这个可以完成隐藏文件,隐藏进程,等操作,但现在一般的ROOTKIT用的少.原因是太显眼了,这个地方是杀软用的多,可以用来做实时监控或者主动防御系统

Shadow SSDT: 一般是跟界面窗口相关的,可能用的最多是保护自己的窗口或者做一些跟全局勾子有关的东东.

IDT:就是中断表, 一般可以用来完成one byte hook,抗调试,键盘记录,内存隐藏.如果发现异常可能是被ROOTKIT修改了


内核模块IAT:这个是查看内核驱动导入表情况的,比如一些杀软不会拦截你驱动加载,但可能会修改你的IAT,这样相关重要的函数一但调用就会跳到杀软的代码中了,这样可能组织你做一些相关的操作。比如结束进程,当然ROOTKIT也可以用这样的技术,还有比如FSD驱动的IAT中的MmFlushSection被HOOK了,这样你删除文件就删不了,当然还有其他办法组织删文件的,这里就不描述了.


内核EAT:这个巨有全局性。但实时性比较差,但对开机就hook的病毒来说,还是不错的选择,当然一些杀软也会采用相同的技术,一般是防火墙用的比较多.



FSD:文件系统驱动,如果你发现文件隐藏了.或者删不了.可能是FSD被HOOK了.这个时候用yas就可以查出来,当然yas这部分不是很稳定,有一些是显示错误的,但不要紧.


IRP 这个自己网上查吧。。


内联钩子: 这个可能是所有HOOK中使用最多但又最不稳定的一中HOOK了,这中HOOK有什么功能取决于他HOOK的方式,比如NtTerminateProcess可以防止进程结束。。或者更深的函数,YAS检测INLINE是很强大的,然目前还不知道未导出函数的检测,但检测的效果应该是不错的,Shadow ssdt部分可能有一些误报,自己判断下吧,很简单的.用户态钩子就不说了.

内核模块:一般的ROOTKIT是以一个驱动存在的。所以YAS列出了系统一些加载的驱动。你可以通过数字签名来判断一些可疑文件。如果不确定可以“百度查询”看别人怎么说。。。如果ROOTKIT采用了隐藏驱动。没关系。Yas可以检测的。。这里说个小技巧。可以通过yas的注册表管理查看服务键。也有一切相关信息


内核其他: 一些比较细小的东西就放在这里。。。比如notifyroutne,过滤驱动等.
行为监控:主要是监控进程创建和结束..当然也有注册表的,只是需要你在设置那里设置一下,这个功能是比较好的,特别是对那些喜欢玩病毒的人来说,还有提供了重起并监控,这样在开机中运行那些进程都会被记录下来
工具:提供了一些小工具啊,比如简单修复功能.SPI查看(一般木马也可以用这个来启动.当然一些防火墙也动了这个地方)..BHO查看(病毒一般利用这个来达到开IE就启动自己的目的)...服务查看(一般病毒是以服务启动的,这样的化可能就没有进程了...YAS对开机就启动的服务用红色表示)


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; CIBA; WWTClient2)

附件附件:

下载次数:432
文件类型:application/octet-stream
文件大小:
上传时间:2008-12-19 9:45:31
描述:rar

分享到:
gototop
 

回复:Yas Anti Rootkit 查杀高级木马工具

谢楼主提供。
╭∩╮(︶︿︶)╭∩╮
gototop
 

回复:Yas Anti Rootkit 查杀高级木马工具

宋体... 英文... 不协调的感觉

无图标模块图标显示为共享overlay(应该是ImageList的问题, 低常量都是系统图标)
进程管理列表为空, 点击空白处, 下面的DLL列表列出yas自身的模块
最后编辑曾半仙 最后编辑于 2008-12-19 12:06:37
gototop
 

回复: Yas Anti Rootkit 查杀高级木马工具



引用:
原帖由 曾半仙 于 2008-12-19 12:02:00 发表
宋体... 英文... 不协调的感觉

无图标模块图标显示为共享overlay(应该是ImageList的问题, 低常量都是系统图标)
进程管理列表为空, 点击空白处, 下面的DLL列表列出yas自身的模块

那是驱动没有被加载的结果........请注意驱动是被什么拦截了...或者被当成病毒杀掉了
gototop
 

回复:Yas Anti Rootkit 查杀高级木马工具

利用其自身查看, 内核模块中已列出sysnap_2006v112.sys
在进程列表的bug状态, 下面板显示模块列表中也有sysdll_2006.dll.
裸奔机器, 无卡卡卡巴金山Etc.
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT