A盾電腦防護

1：關於

“A盾電腦防護”的設計思想是，作為一款anti-rootkit軟體，“A盾電腦防護”的清理目標定位是rootkit，

所以“A盾電腦防護”使用了比rootkit更流氓，更主動的方式來檢查rootkit/virus，正好驗證了一句話：

要對付流氓，就要用比流氓更為流氓的方法，因此使用了大量核心技術。由於時間匆忙，核心方面的功能都處於beta階段，

所以在使用過程中，如果發生由本工具直接或者間接導致的問題，由使用者負責。:

支持系統：windows xp/2003/win7(32bit)

dingking，莫為，影子，vxk，認真的雪，IThurricane，killer，sht，achillis，幻靈，強子，AlxDong，boywhp，bird/鳥總，cnhacker_root

核北/恆，CN_Tink，亂碼，Dzer0，HK_King寶，戰狼，啊蟲，豹紋咪，浪子燕青，Hillwah，ROBIN，KiDebug，漏網之魚

SSDT ->粉紅色為當前函式被掛鈎

ShadowSSDT ->粉紅色為當前函式被掛鈎

核心模組 ->粉紅色為當前核心模組檔案被刪除/褐色為無法驗證當前核心模組檔案的MD5是否原生系統檔案

核心hook ->粉紅色為當前函式被掛鈎

核心執行緒 ->粉紅色為創建執行緒的模組非系統原生檔案

系統執行緒 ->粉紅色為執行緒所在模組處於隱藏狀態，一般正常模組是不會隱藏的，所以非常可疑

Object鉤子 ->粉紅色為當前函式被掛鈎

ntfs/Fsd ->粉紅色為當前函式被掛鈎

鍵盤 ->粉紅色為當前函式被掛鈎

滑鼠 ->粉紅色為當前函式被掛鈎

atapi ->粉紅色為當前函式被掛鈎

被動防禦 ->粉紅色為未知檔案來源的啟動模組或者進程

網路連線 ->褐色為當前tcp網路是處於連線狀態

系統進程 ->粉紅色為隱藏進程/褐色為無法驗證當前核心模組檔案的MD5是否原生系統檔案

系統服務 ->粉紅色為隱藏服務/褐色為當前服務是啟動狀態

關於驅動被殺說明：

為了避免“A盾電腦防護”的驅動被rootkit作者逆向分析，所以打上VMProtect

因此“A盾電腦防護”啟動的時候釋放的驅動檔案（%SystemRoot%\A-Protect.sys和%SystemRoot%\A-ProtectTcpSniffer.sys）可能被查殺，

那是因為防毒軟體殺的是VMProtect的附加代碼~~

2012-06-01 A盾電腦防護 v0.2.6 快樂兒童版：