Deianeira

这是一款手动杀毒辅助工具，在它的帮助下，能使你更方便的进行杀毒。

目前适用系统：Windows XP(需安装.NET4.0组件) / Windows 7(需安装.NET4.0组件)

开发工具：VS2010 + VS2008 + DDKWizard + WDK

使用技术：VC.NET + 内核编程

主要功能

• 进程

1. 查看进程模块
2. 查看进程线程
3. 查看进程句柄
4. 查看进程窗口
5. 在进程中查找进程模块
6. 在进程中查找没有数字签名模块
7. 操作：禁止目标进程创建子进程、进程目标进程结束别的进程；进程目标进程文件的创建、删除和读写；禁止目标进程注册表的创建、删除和查询
8. 普通的结束进程
9. 内核强制结束进程
10. 内核清理结束进程
11. 结束进程并删除文件（首先尝试普通结束，如果普通无法结束就换做内核中结束）
12. 校验数字签名
13. 校验所有数字签名
14. 隐藏进程（内核中断链）
15. 挂起进程和恢复进程（先尝试ring3，否成功就ring0）
16. DLL远程线程注入
17. DLL消息钩子注入（2种模式，StartHook 和 CallBack）
18. 普通常用操作（在线搜索、在线分析和查看属性定位文件等）
19. 保存信息（支持拖动保存）

• 服务（ring3方面的枚举）

1. 操作：启动、停止、暂停、恢复、创建和删除
2. 配置：自动、手动、禁用
3. 校验进程镜像数字签名（单个）
4. 校验服务动态链接库数字签名（单个）
5. 校验所有数字签名
6. 普通常用操作（在线搜索、在线分析和查看属性定位文件等）
7. 保存信息（支持拖动保存）

• 事件日志（显示本地计算机的日志信息，系统日志、安全性日志和所有程序日志）

1. 清除系统日志
2. 清除安全性日志
3. 清除应用程序日志
4. 清除所有日志
5. 保存信息（支持拖动保存）

• 驱动模块

• 内核相关（反汇编采用OD引擎）

a、SSDT 、Shadow SSDT 和 FSD

1. 函数名称、当前地址、原始地址和函数当前所在模块的查看
2. 反汇编当前函数地址
3. 反汇编原始函数地址
4. 校验数字签名
5. 校验所有数字签名
6. 恢复
7. 恢复所有
8. 普通常用操作（在线搜索、在线分析和查看属性定位文件等）
9. 保存信息（支持拖动保存）

• 应用层相关(消息钩子和进程钩子)
• 网络连接(端口，IE插件，IE右键菜单，LSP和Hosts文件)

• 文件

1. 查看锁定（当然也包括解除）
2. 普通删除
3. 内核强制删除
4. 重启删除（可以针对目录操作）
5. 拷贝到
6. 文件快照（文件详细信息的快照，如创建时间、修改时间、大小、md5等，可以两次不同时间间隔的快照分析，得出那些文件改变、删除、和创建）
7. 查看输出输入表信息
8. 校验单个文件数字签名
9. 校验此目录下所有文件数字签名
10. 计算MD5
11. 计算MD5并复制到剪切板
12. 普通常用操作（在线搜索、在线分析和查看属性定位文件等）
13. 保存信息（支持拖动保存）

• 注册表

• 窗体管理

1. 窗体详细信息（窗体本身句柄、标题、类名等和窗体所在线程进程信息）
2. 销毁
3. 置顶和取消置顶
4. 显现和隐藏
5. 最大化和最小化
6. 查找窗体
7. 保存信息（支持拖动保存）

• 启动项
• 系统快照(文件和注册表快照)
• 其他辅助(输入输出表查看，MD5批校验，右键菜单，IE代理，数字签名，MBR备份和恢复，共享，用户，垃圾清理和痕迹清理)

• 屏幕截图

1. 截取全屏
2. 截取部分
3. 截取时隐藏主程序窗体
4. 保存（可拖放保存）

• 内核监控(线程监控，LoadImage监控，进程监控)