KsBinSword(IceSword)

KsBinSword 反病毒 源碼
學(xué)習(xí)驅(qū)動(dòng)的好資料。
里面有開(kāi)發(fā)文檔之類(lèi)的一應(yīng)俱全。

運(yùn)行程序中的KsBinSword.exe即可。
由于本軟件使用了大量新穎的內(nèi)核技術(shù)，且
尚處于測(cè)試版，很多地方穩(wěn)定性不太好，有
時(shí)候會(huì)藍(lán)屏，請(qǐng)使用前務(wù)必保存好重要文檔！

（軟件處于測(cè)試階段，理論上只支持WIN xp sp2，且有可能會(huì)藍(lán)屏，大家提前做好準(zhǔn)備……另外里面的磁盤(pán)編輯器，大家小心點(diǎn)用，沒(méi)事別亂點(diǎn)驅(qū)動(dòng)的寫(xiě)入，影子模式貌似都救不了，系統(tǒng)掛了別找我…………）

軟件主界面如下（以下各圖的軟件界面皮膚可能不同，但結(jié)構(gòu)相同）
 

進(jìn)程部分通過(guò)遍歷PspCidTable，線(xiàn)程是遍歷ETHREAD,模塊通過(guò)ZwQueryVirtualMemory（）函數(shù)。

殺進(jìn)程用的是清零法，和PspTerminateThread,驅(qū)動(dòng)模塊遍歷是通過(guò)查找目錄對(duì)象.文件管理是通過(guò)發(fā)IRP到下

層的卷驅(qū)動(dòng),磁盤(pán)編輯用的是在驅(qū)動(dòng)中操作物理對(duì)象\\.\PhysicalDrive0，或發(fā)srb給atapi
（更新：KsBinSword驅(qū)動(dòng)代碼部分把代碼結(jié)構(gòu)整理的清晰了；讀寫(xiě)硬盤(pán)部分整合到KsBinSword.SYS中；把ｌｓｐ部分改成了進(jìn)程監(jiān)控信息；使用的是XX狗發(fā)SRB到ATAPI的代碼，以前用的是逆別人的代碼。）
感謝：MTrickster、xhackx，cvcvxk、爐子、wowocock、 FlowerCode等提供代碼或建議！

 由于要加載驅(qū)動(dòng) 360 可能會(huì)報(bào)木馬大家自已注意。

從看雪上面轉(zhuǎn)過(guò)來(lái)的軟件

http://bbs.pediy.com/showthread.php?t=78164