KsBinSword(IceSword)

KsBinSword反病毒源码学习驱动的好资料。里面有开发文档之类的一应俱全。

运行程序中的KsBinSword.exe即可。由于本软件使用了大量新颖的内核技术，且尚处于测试版，很多地方稳定性不太好，有时候会蓝屏，请使用前务必保存好重要文档！

（软件处于测试阶段，理论上只支持WINxpsp2，且有可能会蓝屏，大家提前做好准备……另外里面的磁盘编辑器，大家小心点用，没事别乱点驱动的写入，影子模式貌似都救不了，系统挂了别找我…………）

软件主界面如下（以下各图的软件界面皮肤可能不同，但结构相同）

进程部分通过遍历PspCidTable，线程是遍历ETHREAD,模块通过ZwQueryVirtualMemory（）函数。

杀进程用的是清零法，和PspTerminateThread,驱动模块遍历是通过查找目录对象.文件管理是通过发IRP到下

层的卷驱动,磁盘编辑用的是在驱动中操作物理对象\\.\PhysicalDrive0，或发srb给atapi（更新：KsBinSword驱动代码部分把代码结构整理的清晰了；读写硬盘部分整合到KsBinSword.SYS中；把ｌｓｐ部分改成了进程监控信息；使用的是XX狗发SRB到ATAPI的代码，以前用的是逆别人的代码。）感谢：MTrickster、xhackx，cvcvxk、炉子、wowocock、FlowerCode等提供代码或建议！

由于要加载驱动360可能会报木马大家自已注意。

从看雪上面转过来的软件

http://bbs.pediy.com/showthread.php?t=78164

Tags:病毒.