3600safe的设计(jì)思(sī)想(xiǎng)是,作为一(yī)款(kuǎn)anti-rootkit软件,3600safe的清理目标定位(wèi)是rootkit,所以3600safe使用(yòng)了比rootkit更流氓,更主动的(de)方式来检查rootkit/virus,正好验证了一句话:要对付流(liú)氓(máng),就(jiù)要用(yòng)比流氓更为流氓(máng)的(de)方法,因此使用了(le)大量内核技(jì)术。由于时间匆忙(máng),内核方面的功能(néng)都处于beta阶段,所以在使用过(guò)程(chéng)中,如(rú)果(guǒ)发生由本工具直接或者(zhě)间接导致的问(wèn)题,由使用者负责。
众所都知(zhī),360安(ān)全卫(wèi)士是一款云端控制,卸载不干(gàn)净,随(suí)时都有(yǒu)可能窃取用户隐私的行(háng)为的流(liú)氓(máng)软件。
因(yīn)为360安全卫士装机量大,低端用户多,这种可疑的“窃(qiè)取用户隐私的行为(wéi)”严重威胁到了互联网的安全与(yǔ)发展(zhǎn)。
3600safe在(zài)这样的(de)大前提下,提供了“一键卸(xiè)载360”,却(què)惨遭(zāo)360的狙(jū)杀,恶(è)意(yì)打击。
要使用3600safe提(tí)供的“一键卸载360”功能的时(shí)候,请用户(hù)断开网(wǎng)络,避免360云端(duān)控制(zhì)。
断网之后,就可(kě)以(yǐ)使用(yòng)“一键卸载360”功能了。
SSDT ->粉(fěn)红色(sè)为当前函(hán)数被(bèi)挂(guà)钩
ShadowSSDT ->粉红色为当前函数(shù)被挂钩(gōu)
内核模块(kuài) ->粉红色(sè)为当前内核模块文件被删除(chú)/褐色为无法(fǎ)验证(zhèng)当前(qián)内核(hé)模块(kuài)文件的MD5是否原生系统文(wén)件
内(nèi)核hook ->粉红色为当前函数被挂钩(gōu)
Object钩(gōu)子 ->粉红(hóng)色为(wéi)当(dāng)前(qián)函数(shù)被挂钩
ntfs/Fsd ->粉红(hóng)色(sè)为当前函数被挂钩(gōu)
防御日志 ->粉红(hóng)色(sè)为未知文件来源的(de)启动(dòng)模(mó)块或者(zhě)进程
网络(luò)连接 ->褐色为当前(qián)tcp网络(luò)是处于连接状(zhuàng)态(tài)
系统(tǒng)进程 ->粉红色为(wéi)隐藏进程(chéng)/褐色为无法验(yàn)证当前内核模块(kuài)文件的MD5是(shì)否原生(shēng)系统(tǒng)文(wén)件(jiàn)
系统服务 ->粉红色(sè)为隐藏(cáng)服务/褐色(sè)为当前服务是启动(dòng)状态
2012-02-16 3600safe v0.1beta11:
修复:
1:修(xiū)复自我保护代码的(de)一个bug(严重感谢 乱码 的测试(shì))
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-02-16 3600safe v0.1beta10:
"3600safe v0.1beta10" 版本MD5:aed6acb52adf6e2fdb10a3cdd311b181
新增:
防(fáng)御日(rì)志(zhì)
导出防御日志
Tcpip
查看tcpip.sys函数
脱钩所(suǒ)选函数
复制tcpip.sys函数到剪贴板
Nsiproxy
查(chá)看Nsiproxy.sys函(hán)数
脱钩所选函数
复(fù)制Nsiproxy.sys函数到剪贴(tiē)板(bǎn)
其他(tā):
最小化到系(xì)统托盘
增加(jiā)了对win7 home/旗舰版sp1 的(de)系统原生文件验证
木马(mǎ)启(qǐ)动防御
修复:
1:修复“一键卸(xiè)载360”功能时重载ntfs的bug
2:修复(fù)win7 sp1 旗舰版退出时蓝屏bug
3:优化内(nèi)核模块若(ruò)干(gàn)代(dài)码逻辑
4:优化查看网络连接代码
5:修(xiū)复了win7旗舰(jiàn)版sp1下无法(fǎ)查看(kàn)tcp端口的bug
6:优化自我保护代码逻辑
7:重写了防御日志模块的内核(hé)代码
