瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 VeryFunny——微型扫描系统日志工具测试(将会根据测试情况不断更新)

12   1  /  2  页   跳转

[转载] VeryFunny——微型扫描系统日志工具测试(将会根据测试情况不断更新)

VeryFunny——微型扫描系统日志工具测试(将会根据测试情况不断更新)

VeryFunny 是一个模仿 System Repair Engineer(SREng)的“智能扫描”功能的工具。
VeryFunny 项目自从一年多以前建立以来,一直都在断断续续地编写、测试和修改。来自 DU110、剑盟的许多朋友参与了测试,并提出了修改意见和功能建议。

下载地址:http://www.0ginr.com/FlowerCode/VF/

VF 的界面十分简单,方便求助者使用。日志直接生成在当前目录,无需选择。

VF 扫描的内容包括系统服务及驱动程序、进程及模块、启动项、计划任务等。

VF 自动校验数字签名,并默认排除通过数字签名验证的项目。

VF 自动生成缓存文件,可重复使用,扫描速度可提升数十倍,超越绝大多数同类工具。

VF 可以扫描用户在配置文件中指定的注册表项目,并自动列举子键。

VF 可以自定义日志格式,包括缩进和标头均可修改。

VF 还有一些创新的小功能,能在一定程度上方便各种反病毒论坛上的求助者和助人者。

建议解压后使用,要联网。
——————————————————————————————————————————————————————————
1、对于求助者
一般来说,将 VFLdr.exe 和 Config.ini 解压缩到任意目录,启动 VFLdr.exe,点击“全选”、“扫描”即可。日志会生成在程序所在的目录。

2、对于助人者
* Config.ini 文件是程序的配置文件。通过修改这个文件可以打开或关闭功能,以及调整日志格式等。
* [Loader] 为 VFLdr.exe 的设置项。
* UseSafeDesktop 为是否使用安全桌面。1 为使用,0 为不使用。默认为 0。安全桌面可以防止部分恶意程序干扰扫描过程。
* [General] 为全局设置项。
* ExcludeVerified 为是否排除通过数字签名验证的程序。1 为排除,0 为不排除。默认为 1。
* DetectHiddenModule 为是否探测隐藏的进程模块。该功能会大幅降低扫描速度。1 为探测,0 为不探测。默认为 0。
* [Keyword] 为模板关键词,一般无需修改。
* [Header] 为日志标头,可以随意修改,如“XX论坛专用”等。
* [Service]、[Process]、[Autorun]、[Job]、[Suspicious]、[CustomRegKey]、[CustomRegValue]
* Header 为该项目的标头,可任意修改。
* Template 为该项目的模板。程序通过替换关键词将原始数据按模板输出。可以按照个人喜好修改。
* [CustomRegKey]、[CustomRegValue]
* 可以在这些项目下自定义需要扫描的注册表键或值,每行一个。
* 格式类似于 1=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
* 其中主键名称为缩写
  HKLM = HKEY_LOCAL_MACHINE
  HKCU = HKEY_CURRENT_USER
  HKCR = HKEY_CLASSES_ROOT
* 扫描注册表键时会自动列举所有子键和子值。
* Cache.ini 为程序缓存文件。
  此文件可以极大地加快扫描速度。
  此文件记录的是扫描过的文件的散列值。
  此文件可以反复使用,并可在多人间传递使用。
  此文件采用纯文本格式,压缩后很小。
————————————————————————————————————————————————
2010-03-28
Build 320
1. 修正了获取文件版本信息的问题。
2. 配置文件不存在时提示。

2010-03-27
Build 318
1. 自定义扫描注册表键支持无限层列举子键和子值。
2. 修正了注册表操作的一些问题。

2010-03-27
Build 317
1. 修正注册表扫描只显示一项的问题。
2. 修正 Userinit 扫描的问题。
3. 修正进程模块检测的问题。
4. 删除未使用的网络访问函数。

2010-03-25
Build 313
1. 代码优化。
2. 修正一些笔误。
3. 增加对隐藏模块的探测(速度较慢),默认关闭。
4. “也包括通过数字签名验证的程序”选项移至配置文件。
5. 检测服务项的动态链接库(ServiceDll)。

2010-01-28
Build 305
1. 修正注册表扫描的错误。

2010-01-27
Build 302
1. 修正一处变量未初始化的错误(感谢“天月来了”发现问题)。
2. 修正一处笔误(感谢“天月来了”、“byxxdrls”发现问题)。

2010-01-26
Build 298
1. 新增了缓存功能。
2. 部分重写了文件签名检测功能。
3. 在配置文件中添加了安全桌面的开关。
4. 删除了可疑文件检测功能。
5. 支持自定义注册表扫描项目。
6. 修正了注册表读取的部分问题。

2010-01-25
Build 281
01. 增加安全桌面。
02. 计划任务检测可选。
03. 修正了可疑文件重复输出和误判的问题。
04. 数字签名检测速度加快。
05. 文件的访问不受访问控制列表影响。
06. 注册表访问不受访问控制列表影响。
07. 修正了多个内存泄漏以及潜在的随机崩溃问题。
08. 模板中可以使用制表符。
09. 删除了冗余代码。
10. 修正了部分特殊路径处理的问题(感谢“byxxdrls”发现问题)。
11. 服务枚举部分彻底重写,使用内置的注册表访问函数实现,不受访问控制列表影响(感谢“byxxdrls”发现问题)。

2009-10-19 14:26
加了可疑文件的模板支持以及一个简单的下载进度条。

2009-10-19 13:12
修好了窗口遮挡的问题。

2009-10-19 12:56
1. 新增计划任务检测。
2. 新增系统文件下载。当文件被注入病毒代码后,分两种情况:
    a. 文件大小及特征不变。此时 VF 自动检测并从微软服务器下载此系统文件。
    b. 文件大小及特征改变(或者直接被替换)。此时 VF 自动检测并单独列出此文件。
3. 继续提速……
4. 优化了文件大小。

2009-10-13 10:54
1. 服务扫描显示服务真实名称。
2. 注册表扫描不显示开头为分号的项目。
3. 修复注册表扫描 3 处 BUG。
4. 继续提速。

2009-10-12 10:26
1. 多线程,自动检测并干掉没有响应的操作线程。
2. VFLdr,随机文件名,随机扩展名。
3. BUG 修复,速度优化。

2009-10-11 08:26
彻底解决了类似 svchost -k 这样没有扩展名的文件无法解析的问题。

2009-10-11 07:43
修正了部分检测函数。
现在在干净的XP SP3上,注册表检测可以自动过滤掉全部项目。

2009-10-11 07:09
增加了一些特殊注册表项目的检测。

2009-10-11 05:41
1. GUID 不能解析的问题已经解决了,是注册表读取的问题。
2. csrss.exe 和 winlogon.exe 在 XP 下解析不正常的问题也解决了。
3. svchost -k 的问题还没有解决。
4. userinit.exe 的问题打算单独处理。
还顺便干掉了一些别的 BUG。

2009-10-10 13:28
修复了数十个 BUG,增加了几项小功能。

2008-10-5 12:45
第三版

彻底修好了签名的问题。
加上了 bark 要求的文件存在与否的验证。

更新:增加了更具体的进度。个别出现卡死情况的同学可以看看到底卡在哪了。

2008-10-5 00:12
测试版

注册表部分还是有问题。还在改。
签名基本上弄好了。
加了进度条等

2008-9-25 13:52
原型测试版

此版为初稿。

已有功能:服务、驱动、进程、注册表扫描。
可以根据配置文件输出日志,实现你自己喜欢的日志风格。

已知问题:数字签名验证不能使用。自动化修复功能尚未完成,不能使用。注册表扫描会忽略掉可扩展字符串类型数据(REG_EXPAND_SZ)。

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
最后编辑天月来了 最后编辑于 2010-03-29 16:43:04
百年以后,你的墓碑旁 刻着的名字不是我
分享到:
gototop
 

回复:VeryFunny——微型“扫描”系统日志工具测试

占楼。


此地址随时更新:http://flowercode.0ginr.com/VF
最后编辑FlowerCode 最后编辑于 2010-03-29 22:38:10
gototop
 

回复:VeryFunny——微型“扫描”系统日志工具测试

潜力股
最后编辑byxxdrls 最后编辑于 2010-03-28 10:51:46
gototop
 

回复: VeryFunny——微型扫描系统日志工具测试(将会根据测试情况不断更新)

这个工具为啥要删除瑞星保护的注册表项呢?


HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\RSNTGDI\PARAMETERS\
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\RSRISMON\PARAMETERS\
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\RSFWDRV\PARAMETERS\
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\RSASSIST\PARAMETERS\
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\RFWTDI\PARAMETERS\
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\RFWARP\PARAMETERS\
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\HOOKSYS\PARAMETERS\
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\HOOKCONT\PARAMETERS\
gototop
 

回复: VeryFunny——微型扫描系统日志工具测试(将会根据测试情况不断更新)



引用:
原帖由 非拉鐵非 于 2010-3-28 15:57:00 发表
这个工具为啥要删除瑞星保护的注册表项呢?


HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\RSNTGDI\PARAMETERS\
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICE......

是这样的,系统函数 RegCreateKeyEx 的设计有点古怪,它不提供是否一个注册表键是不是存在的信息,如果不存在会直接创建一个新键。所以程序只能先尝试打开,如果它创建了一个新键,说明该键不存在,就删掉它。


以后我会尝试调整一下逻辑,让这种情况减少一些。


参考:http://msdn.microsoft.com/en-us/library/ms724844(VS.85).aspx
gototop
 

回复: VeryFunny——微型扫描系统日志工具测试(将会根据测试情况不断更新)

访问网络》》》
???






附件为日志样式

附件附件:

文件名:VeryFunny.log
下载次数:486
文件类型:application/octet-stream
文件大小:
上传时间:2010-3-29 12:11:36
描述:log

最后编辑夲號ヱ被ジ盜 最后编辑于 2010-03-29 12:11:47
gototop
 

回复: VeryFunny——微型扫描系统日志工具测试(将会根据测试情况不断更新)

今天在官网下载的工具,在本地电脑解压错误!不知是我这里的问题,还是附件的问题。



还有就是这个版本扫描的日志是网页的形式,没有看到是log日志格式的。

并且扫描出来日志都是乱码!


这个是在论坛里看到的

地址:http://bbs.ikaka.com/showtopic-8705858-2.aspx(在16楼)

下面是所用工具和日志,我在测试的时候也是网页并且带有乱码。

附件附件:

文件名:VeryFunny.zip
下载次数:522
文件类型:application/x-zip-compressed
文件大小:
上传时间:2010-4-4 22:20:12
描述:zip

附件附件:

文件名:日志.rar
下载次数:492
文件类型:application/octet-stream
文件大小:
上传时间:2010-4-4 22:20:12
描述:rar

要深入,要专一.......
gototop
 

回复:VeryFunny——微型扫描系统日志工具测试(将会根据测试情况不断更新)

好工具,支持
gototop
 

回复:VeryFunny——微型扫描系统日志工具测试(将会根据测试情况不断更新)


感谢大大的无私奉献
gototop
 

回复: VeryFunny——微型扫描系统日志工具测试(将会根据测试情况不断更新)



引用:
原帖由 辛达星郁 于 2010-4-4 22:20:00 发表
今天在官网下载的工具,在本地电脑解压错误!不知是我这里的问题,还是附件的问题。



还有就是这个版本扫描的日志是网页的形式,没有看到是log日志格式的。

并且扫描出来日志都是乱码!


这个是在论坛里看到的

地址:[url=http://bbs.ikaka




将编码选为自动
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT