VeryFunny 是一个模仿 System Repair Engineer(SREng)的“智能扫描”功能的工具。
VeryFunny 项目自从一年多以前建立以来,一直都在断断续续地编写、测试和修改。来自 DU110、剑盟的许多朋友参与了测试,并提出了修改意见和功能建议。
下载地址:
http://www.0ginr.com/FlowerCode/VF/VF 的界面十分简单,方便求助者使用。日志直接生成在当前目录,无需选择。
VF 扫描的内容包括系统服务及驱动程序、进程及模块、启动项、计划任务等。
VF 自动校验数字签名,并默认排除通过数字签名验证的项目。
VF 自动生成缓存文件,可重复使用,扫描速度可提升数十倍,超越绝大多数同类工具。
VF 可以扫描用户在配置文件中指定的注册表项目,并自动列举子键。
VF 可以自定义日志格式,包括缩进和标头均可修改。
VF 还有一些创新的小功能,能在一定程度上方便各种反病毒论坛上的求助者和助人者。
建议解压后使用,要联网。
——————————————————————————————————————————————————————————
1、对于求助者
一般来说,将 VFLdr.exe 和 Config.ini 解压缩到任意目录,启动 VFLdr.exe,点击“全选”、“扫描”即可。日志会生成在程序所在的目录。
2、对于助人者
* Config.ini 文件是程序的配置文件。通过修改这个文件可以打开或关闭功能,以及调整日志格式等。
* [Loader] 为 VFLdr.exe 的设置项。
* UseSafeDesktop 为是否使用安全桌面。1 为使用,0 为不使用。默认为 0。安全桌面可以防止部分恶意程序干扰扫描过程。
* [General] 为全局设置项。
* ExcludeVerified 为是否排除通过数字签名验证的程序。1 为排除,0 为不排除。默认为 1。
* DetectHiddenModule 为是否探测隐藏的进程模块。该功能会大幅降低扫描速度。1 为探测,0 为不探测。默认为 0。
* [Keyword] 为模板关键词,一般无需修改。
* [Header] 为日志标头,可以随意修改,如“XX论坛专用”等。
* [Service]、[Process]、[Autorun]、[Job]、[Suspicious]、[CustomRegKey]、[CustomRegValue]
* Header 为该项目的标头,可任意修改。
* Template 为该项目的模板。程序通过替换关键词将原始数据按模板输出。可以按照个人喜好修改。
* [CustomRegKey]、[CustomRegValue]
* 可以在这些项目下自定义需要扫描的注册表键或值,每行一个。
* 格式类似于 1=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
* 其中主键名称为缩写
HKLM = HKEY_LOCAL_MACHINE
HKCU = HKEY_CURRENT_USER
HKCR = HKEY_CLASSES_ROOT
* 扫描注册表键时会自动列举所有子键和子值。
* Cache.ini 为程序缓存文件。
此文件可以极大地加快扫描速度。
此文件记录的是扫描过的文件的散列值。
此文件可以反复使用,并可在多人间传递使用。
此文件采用纯文本格式,压缩后很小。
————————————————————————————————————————————————
2010-03-28
Build 320
1. 修正了获取文件版本信息的问题。
2. 配置文件不存在时提示。
2010-03-27
Build 318
1. 自定义扫描注册表键支持无限层列举子键和子值。
2. 修正了注册表操作的一些问题。
2010-03-27
Build 317
1. 修正注册表扫描只显示一项的问题。
2. 修正 Userinit 扫描的问题。
3. 修正进程模块检测的问题。
4. 删除未使用的网络访问函数。
2010-03-25
Build 313
1. 代码优化。
2. 修正一些笔误。
3. 增加对隐藏模块的探测(速度较慢),默认关闭。
4. “也包括通过数字签名验证的程序”选项移至配置文件。
5. 检测服务项的动态链接库(ServiceDll)。
2010-01-28
Build 305
1. 修正注册表扫描的错误。
2010-01-27
Build 302
1. 修正一处变量未初始化的错误(感谢“天月来了”发现问题)。
2. 修正一处笔误(感谢“天月来了”、“byxxdrls”发现问题)。
2010-01-26
Build 298
1. 新增了缓存功能。
2. 部分重写了文件签名检测功能。
3. 在配置文件中添加了安全桌面的开关。
4. 删除了可疑文件检测功能。
5. 支持自定义注册表扫描项目。
6. 修正了注册表读取的部分问题。
2010-01-25
Build 281
01. 增加安全桌面。
02. 计划任务检测可选。
03. 修正了可疑文件重复输出和误判的问题。
04. 数字签名检测速度加快。
05. 文件的访问不受访问控制列表影响。
06. 注册表访问不受访问控制列表影响。
07. 修正了多个内存泄漏以及潜在的随机崩溃问题。
08. 模板中可以使用制表符。
09. 删除了冗余代码。
10. 修正了部分特殊路径处理的问题(感谢“byxxdrls”发现问题)。
11. 服务枚举部分彻底重写,使用内置的注册表访问函数实现,不受访问控制列表影响(感谢“byxxdrls”发现问题)。
2009-10-19 14:26
加了可疑文件的模板支持以及一个简单的下载进度条。
2009-10-19 13:12
修好了窗口遮挡的问题。
2009-10-19 12:56
1. 新增计划任务检测。
2. 新增系统文件下载。当文件被注入病毒代码后,分两种情况:
a. 文件大小及特征不变。此时 VF 自动检测并从微软服务器下载此系统文件。
b. 文件大小及特征改变(或者直接被替换)。此时 VF 自动检测并单独列出此文件。
3. 继续提速……
4. 优化了文件大小。
2009-10-13 10:54
1. 服务扫描显示服务真实名称。
2. 注册表扫描不显示开头为分号的项目。
3. 修复注册表扫描 3 处 BUG。
4. 继续提速。
2009-10-12 10:26
1. 多线程,自动检测并干掉没有响应的操作线程。
2. VFLdr,随机文件名,随机扩展名。
3. BUG 修复,速度优化。
2009-10-11 08:26
彻底解决了类似 svchost -k 这样没有扩展名的文件无法解析的问题。
2009-10-11 07:43
修正了部分检测函数。
现在在干净的XP SP3上,注册表检测可以自动过滤掉全部项目。
2009-10-11 07:09
增加了一些特殊注册表项目的检测。
2009-10-11 05:41
1. GUID 不能解析的问题已经解决了,是注册表读取的问题。
2. csrss.exe 和 winlogon.exe 在 XP 下解析不正常的问题也解决了。
3. svchost -k 的问题还没有解决。
4. userinit.exe 的问题打算单独处理。
还顺便干掉了一些别的 BUG。
2009-10-10 13:28
修复了数十个 BUG,增加了几项小功能。
2008-10-5 12:45
第三版
彻底修好了签名的问题。
加上了 bark 要求的文件存在与否的验证。
更新:增加了更具体的进度。个别出现卡死情况的同学可以看看到底卡在哪了。
2008-10-5 00:12
测试版
注册表部分还是有问题。还在改。
签名基本上弄好了。
加了进度条等
2008-9-25 13:52
原型测试版
此版为初稿。
已有功能:服务、驱动、进程、注册表扫描。
可以根据配置文件输出日志,实现你自己喜欢的日志风格。
已知问题:数字签名验证不能使用。自动化修复功能尚未完成,不能使用。注册表扫描会忽略掉可扩展字符串类型数据(REG_EXPAND_SZ)。
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
