anti-rootkit軟件(3600safe)

3600safe的設計思想是，作為一款anti-rootkit軟件，3600safe的清理目標定位是rootkit，所以3600safe使用了比rootkit更流氓，更主動的方式來檢查rootkit/virus，正好驗證了一句話：要對付流氓，就要用比流氓更為流氓的方法，因此使用了大量內(nèi)核技術。由于時間匆忙，內(nèi)核方面的功能都處于beta階段，所以在使用過程中，如果發(fā)生由本工具直接或者間接導致的問題，由使用者負責。

**************************************************************************************************

如何使用3600safe提供的“一鍵卸載360”功能：
眾所都知，360安全衛(wèi)士是一款云端控制，卸載不干凈，隨時都有可能竊取用戶隱私的行為的流氓軟件。
因為360安全衛(wèi)士裝機量大，低端用戶多，這種可疑的“竊取用戶隱私的行為”嚴重威脅到了互聯(lián)網(wǎng)的安全與發(fā)展。
3600safe在這樣的大前提下，提供了“一鍵卸載360”，卻慘遭360的狙殺，惡意打擊。
要使用3600safe提供的“一鍵卸載360”功能的時候，請用戶斷開網(wǎng)絡，避免360云端控制。
斷網(wǎng)之后，就可以使用“一鍵卸載360”功能了。

****************************************************************************************
關于顯示顏色說明：

SSDT ->粉紅色為當前函數(shù)被掛鉤
ShadowSSDT ->粉紅色為當前函數(shù)被掛鉤
內(nèi)核模塊 ->粉紅色為當前內(nèi)核模塊文件被刪除/褐色為無法驗證當前內(nèi)核模塊文件的MD5是否原生系統(tǒng)文件
內(nèi)核hook ->粉紅色為當前函數(shù)被掛鉤
Object鉤子 ->粉紅色為當前函數(shù)被掛鉤
ntfs/Fsd ->粉紅色為當前函數(shù)被掛鉤
防御日志 ->粉紅色為未知文件來源的啟動模塊或者進程
網(wǎng)絡連接 ->褐色為當前tcp網(wǎng)絡是處于連接狀態(tài)
系統(tǒng)進程 ->粉紅色為隱藏進程/褐色為無法驗證當前內(nèi)核模塊文件的MD5是否原生系統(tǒng)文件
系統(tǒng)服務 ->粉紅色為隱藏服務/褐色為當前服務是啟動狀態(tài)

****************************************************************************************

2012-02-16 3600safe v0.1beta11：


修復：

1：修復自我保護代碼的一個bug（嚴重感謝 亂碼 的測試）

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2012-02-16 3600safe v0.1beta10：
"3600safe v0.1beta10" 版本MD5：aed6acb52adf6e2fdb10a3cdd311b181
新增：
防御日志
導出防御日志
Tcpip
查看tcpip.sys函數(shù)
脫鉤所選函數(shù)
復制tcpip.sys函數(shù)到剪貼板
Nsiproxy
查看Nsiproxy.sys函數(shù)
脫鉤所選函數(shù)
復制Nsiproxy.sys函數(shù)到剪貼板
其他：
最小化到系統(tǒng)托盤
增加了對win7 home/旗艦版sp1 的系統(tǒng)原生文件驗證
木馬啟動防御
修復：
1：修復“一鍵卸載360”功能時重載ntfs的bug
2：修復win7 sp1 旗艦版退出時藍屏bug
3：優(yōu)化內(nèi)核模塊若干代碼邏輯
4：優(yōu)化查看網(wǎng)絡連接代碼
5：修復了win7旗艦版sp1下無法查看tcp端口的bug
6：優(yōu)化自我保護代碼邏輯
7：重寫了防御日志模塊的內(nèi)核代碼