CSafe17.0-Release
截至最新发布的版本已有功能(包括测试版)
引擎功能:
1. 基于导入表的静态启发子引擎LSProtect
2. 基于文件可识别字符串的静态启发子引擎BITProtect
3. 基于DLL注入和基础进程信息的动态行为监控式启发引擎TOProtect
(注: TOProtect、BITProtect与LSProtect均为CSafe杀毒引擎的子引擎)
软件功能:
1. 基于BITProtect与LSProtect实现的文件防护(监控关键位置的文件修改并对于被修改的文件进行检测)
2. 基于CSafe杀毒引擎的静态查杀(BITProtect与LSProtect)和动态监控(TOProtect)的进程防护
3. 完整的终端式主界面
4. 快速、完整的文件隔离与强制删除系统
5. 完整的基础系统工具
6. 基于SHA-256 Hash code的白名单例外系统
7. 普通与快速模式的目录扫描,查杀率约60%
8. 互不干扰、低占用的多线程杀毒策略
9. 除第11条外的所有CSafe16.0-Release版本预告
版本更新内容
1. 全面重构,将杀毒软件与杀毒引擎剥离开,使得代码修改更加方便
2. 删除病毒库,全部改为启发式引擎,同时与
CFTQ查杀云合作,原CSafe病毒库整合进CFTQ查杀云。
3. 更新病毒处理部分,权限更高
4. 全面重构更新TOProtect,使得其实现了基于远线程DLL注入和Inline Hook的远程API Hook,实现了风险API调用检测与加壳病毒强检测,上个版本预告中关于动态检测的内容全部实现
5. 更新了许多操作命令,详情见新版CSafe的help指令
6. 更新隔离区,使得隔离区文件不会被轻易删除,同时隔离区文件保留的原始数据更多(隔离时间与原始文件名)
7. 增加扫描命令,分为快速扫描与完整扫描(均自定义扫描路径,快速扫描是指仅使用两个静态引擎中较快的LSProtect引擎),快速扫描查杀率约30%~57%,完整扫描查杀率约60%~80%(对于部分样本查杀率极高)
8. 升级多线程杀毒策略,不再会因为处理速度或阻塞函数原因漏杀
9. 剩下的巴拉巴拉太多了自己去翻代码吧,总之除了上个版本预告的第11条别的写了的没写的都实现了
版本预告(带"*"号的表示可能不会实现)
1. 开发进程保护及强制杀除进程功能
2. *开发驱动提升权限
CSafe16.0-Release
截至最新发布的版本已有功能(包括测试版)
1. 杀毒软件主界面
2. 隐藏主界面功能
3. MBR备份及恢复
3. 根据病毒库中记录的病毒文件文件名查杀病毒(危险等级:6)
4. 根据目标进程根目录下是否有隐藏的可执行文件判断其是否是具有隐藏性的蠕虫等病毒(危险等级:5)
5. 根据目标进程是否有管理员权限查杀病毒(危险等级:3)
6. 基于文件名和文件SHA-512特征码的白名单
7. *拥有3000+病毒样本的病毒库(SHA-256)[未启用]
8. 将操作界面从鼠标操作改为命令行式操作,并且将LOG实时输出到控制台
9. 应用新的杀毒策略"行为杀毒":对刚刚启动的进程执行一次特征码检测,然后观察3次,动态做出结果,毫秒级应急响应(50ms)
10. 将当前杀毒引擎的多线程动态查杀(反复对所有进程执行杀毒循环)改为静态查杀(仅在启动时对所有进程执行一次杀毒循环,然后只对刚刚启动的进程执行挂起操作并执行一次杀毒循环(后续将根据测试结果决定是否要对目标进程执行挂起操作)并作出对应判断)
11. 添加静态查杀,可安全扫描一个目录并输出危险文件
12. 在命令行控制界面添加了许多开发者工具,可用于控制、测试病毒和程序等活动
版本更新内容
[Data missing]
版本预告(带"*"号的表示可能不会实现)
1. 再次重构,CSafe将不再是杀软和杀毒引擎的结合体,而是将二者隔离开来,杀毒软件负责调用杀毒引擎API和页面处理,杀毒引擎负责杀毒处理
2. 添加是否写入启动项的判断(等级:3)
3. 添加是否进行IEFO映像劫持检测(等级:5)
4. 添加“动态扫描”查杀功能
5. 为静态查杀添加杀毒功能
6. 升级SHA-256码判断机制
7. *添加是否访问可执行文件的判断(等级:5)
8. *添加是否写入MBR的判断(等级:6)
9. *添加是否置顶窗口的判断(等级:2)
10. *通过测试将各种行为的分级变得合理
11. *添加更新功能,自动更新杀毒引擎等模块
CSafe16.0-pre1
截至当前发布的版本已有功能
1. 杀毒软件主界面
2. 隐藏主界面功能
3. MBR备份及恢复
3. 根据病毒库中记录的病毒文件文件名查杀病毒(危险等级:危险)
4. 根据目标进程根目录下是否有隐藏的可执行文件判断其是否是具有隐藏性的蠕虫等病毒(危险等级:高风险)
5. 根据目标进程是否有管理员权限查杀病毒(危险等级:有风险)
6. 基于文件名和文件SHA-512特征码的白名单
7. *拥有3000+病毒样本的病毒库(SHA-256)[未启用]
更新内容
1. 将SHA-512改为SHA-256,加快计算速度和计算时的稳定性,减小病毒库大小
2. 病毒库新收录3000余个病毒样本(SHA-256)[未启用]
版本预告(带"*"号的表示可能不会实现)
1. 将病毒判断标准中的是否有管理员权限(详见已有功能中的第5条)的危险等级升级为高风险
2. 将操作界面从鼠标操作改为键盘输入操作
4. *添加一项病毒判断标准:是否写入注册表(危险等级:有危险)
5. 应用新的杀毒策略"行为杀毒":对刚刚启动的进程执行一次特征码检测,然后对其进行观察,检测其危险行为(共观察3次,从进程启动开始每秒一次),并叠加危险行为的危险等级(危险行为可能有多个),根据其总危险等级做出对应决策。
5. *将当前杀毒引擎的多线程动态查杀(反复对所有进程执行杀毒循环)改为静态查杀(仅在启动时对所有进程执行一次杀毒循环,然后只对刚刚启动的进程执行挂起操作并执行一次杀毒循环(后续将根据测试结果决定是否要对目标进程执行挂起操作)并作出对应判断)
6. *当第五条实现时,添加一个“进程扫描”查杀功能,启动扫描的时候对所有进程执行一遍杀毒循环
CSafe15.0-Release
截至当前发布的版本已有功能
1. 杀毒软件主界面
2. 隐藏主界面功能
3. MBR备份及恢复
3. 根据病毒库中记录的病毒文件文件名查杀病毒(危险等级:危险)
4. 根据目标进程根目录下是否有隐藏的可执行文件判断其是否是具有隐藏性的蠕虫等病毒(危险等级:高风险)
5. 根据目标进程是否有管理员权限查杀病毒(危险等级:有风险)
6. 基于文件名和文件SHA-512特征码的白名单
更新内容
1. 重构了部分代码,将输出病毒信息和对病毒作出对应处理操作的功能包装为了函数
2. 新增了管理员进程查杀的功能(详见已有功能的第5条)
3. 通过提升标准输入输出流速度的方法提升了反应速度
4. 优化了代码执行速度
5. 对白名单进行了优化,将原本的根据文件名判断目标程序是否在白名单标记范围内改为了根据文件名和文件SHA-512特征码判断目标程序是否在白名单标记范围内
6. 更新了白名单的输出功能,将原本的输出白名单文件的每一行改为了只输出目标文件的全路径(因为白名单文件中,白名单标记文件的文件名一般只会出现在白名单文件的奇数行中,因此只需要输出奇数行即可,但是使用久之后会显示混乱,因此我们将在下个版本修复这个BUG)
版本预告(带"*"号的表示可能不会实现)
1. 将病毒判断标准中的是否有管理员权限(详见已有功能中的第5条)的危险等级升级为高风险
2. 修复更新内容第6条中所描述的白名单输出时乱码的BUG(通过查找目标行是否有代表路径的字符(如"\"、"/"、":"等),确认其是否是文件路径)
3. *为白名单输出功能添加翻页器等功能,解决当白名单标记文件过多的时候导致的乱码问题
4. *添加一项病毒判断标准:是否写入注册表(危险等级:有危险)
5. *将当前杀毒引擎的多线程动态查杀(反复对所有进程执行杀毒循环)改为静态查杀(仅在启动时对所有进程执行一次杀毒循环,然后只对刚刚启动的进程执行挂起操作并执行一次杀毒循环(后续将根据测试结果决定是否要对目标进程执行挂起操作)并作出对应判断)
6. *当第五条实现时,添加一个“进程扫描”查杀功能,启动扫描的时候对所有进程执行一遍杀毒循环
7. *将通过文件名标记病毒文件的方式改为通过SHA-512标记病毒文件
CSafe Beta-15.0
CSafe早期版本,无描述
