AntiSpy es un kit de herramientas antivirus y de rootkits gratuito, pero potente.
Te ofrece la capacidad con los más altos privilegios que puede detectar, analizar y restaurar varias modificaciones del kernel y hooks.
Con su ayuda, puede detectar y neutralizar fácilmente los malwares ocultos a los detectores normales.
Tabla de Contenido
Desarrollo
- IDE: Visual Studio 2008
- Espacio de usuario: MFC
- WDK: WDK7600
- Biblioteca de terceros: Codejock toolkit pro
Estructura del Código
AntiSpy_Root_Dir
├── LICENSE
├── README.md
├── doc (AntiSpy introduction files)
│ ├── Readme.txt
│ └── 说明.txt
├── icon
│ └── icon.ico
├── src
│ ├── Antispy (AntiSpy main project)
│ │ ├── Common (The common structs&defines,used by userspace&kernel)
│ │ ├── SpyHunter (Userspace project,written in MFC)
│ │ ├── SpyHunter.sln (VS2008 solution file)
│ │ └── SpyHunterDrv (Kernel project)
│ └── ResourceEncrypt (Encryption tool project)
│ ├── ResourceEncrypt (Encrypt driver and other resources)
│ ├── ResourceEncrypt.sln (VS2008 solution file)
│ └── clear.bat
└── tools
├── ResourceEncrypt.exe
└── TestTools.exe (Used to test the functionality of Antispy)
Características
Actualmente, están disponibles las siguientes funciones (entre otras):
Gestor de procesos
- Muestra la información básica de los procesos e hilos del sistema.
- Detectar procesos ocultos, hilos, módulos de proceso.
- Terminar, suspender y reanudar procesos e hilos.
- Ver y manipular handles de procesos, ventanas y regiones de memoria.
- Ver y manipular las teclas de acceso rápido, los privilegios y los temporizadores de los procesos.
- Detectar y restaurar hooks de procesos incluyendo inline hooks, patches, iat y eat hooks.
- Inyectar dll, volcar la memoria del proceso.
- Crear volcado de depuración (debug dump), incluyendo mini dump y full dump.
Visor de módulos del kernel
- Muestra la información básica del módulo del kernel, incluyendo la base de la imagen, el tamaño, el objeto del controlador, etc.
- Detectar módulos del kernel ocultos.
- Descargar los módulos del kernel.
- Volcar la memoria de la imagen del kernel.
- Mostrar y eliminar información de servicio del controlador del sistema.
Detector de Hooks
- Detecta y restaura los hooks SSDT, Shadow SSDT, sysenter e int2e.
- Detecta y restaura los hooks FSD y keyboard disptach.
- Detecta y restaura los hooks de código del kernel, incluyendo los hooks inline del kernel, los parches, los iat y los eat hooks.
- Detectar y restaurar los hooks de mensajes, tanto globales como locales.
- Detectar y restaurar los hooks del kernel ObjectType.
- Mostrar la Tabla de Descriptores de Interrupción (IDT, Interrupt Descriptor Table).
Otro visor de información del Kernel
- Ver y eliminar las notificaciones del kernel.
- Ver los filtros para los dispositivos comunes, incluyendo el disco, el volumen, el teclado y los dispositivos de red.
- Ver temporizadores IO, temporizadores DPC, hilos del sistema, etc.
Gestor del Registro
- Ver y editar el registro del sistema.
- Detectar las entradas ocultas del registro mediante el análisis HIVE del registro en vivo.
Administrador de Archivos
- Muestra la información básica de los archivos, incluyendo su nombre, tamaño, atributos, etc.
- Detecta archivos ocultos.
- Ver y eliminar archivos y carpetas bloqueados.
Gestor de Servicios
- Muestra la información básica de los servicios del sistema.
- Controlar el estado de los servicios.
- Modificar el tipo de inicio de los servicios.
Gestor de Ejecución Automática
- Muestra casi todos los tipos de ejecución automática del sistema.
- Habilitar, deshabilitar o eliminar permanentemente las ejecuciones automáticas.
Visor de Red
- Muestra las conexiones de red actuales, incluyendo información TCP y UDP.
- Ver y eliminar los plugins de IE y el menú contextual.
- Muestra los proveedores de winsock (LSP).
- Ver y editar el archivo de hosts.
Otras Herramientas
- Editor hexadecimal – Visualiza y edita la memoria, incluyendo la memoria del proceso ring3 y la memoria del sistema ring0.
- Desensamblador – Al igual que OllyDBG, soporta la memoria del proceso ring3 y la memoria del sistema ring0.
Configuración
- Ajustes de color personalizados.
Interfaces de Usuario
Árbol de procesos
Menú de procesos
Red
Administrador de Archivos
Gestor de Ejecución Automática
https://github.com/mohuihui/antispy