KsBinSword(IceSword)

KsBinSword 反病毒 源碼
學習驅(qū)動的好資料。
里面有開發(fā)文檔之類的一應俱全。

運行程序中的KsBinSword.exe即可。
由于本軟件使用了大量新穎的內(nèi)核技術，且
尚處于測試版，很多地方穩(wěn)定性不太好，有
時候會藍屏，請使用前務必保存好重要文檔！

（軟件處于測試階段，理論上只支持WIN xp sp2，且有可能會藍屏，大家提前做好準備……另外里面的磁盤編輯器，大家小心點用，沒事別亂點驅(qū)動的寫入，影子模式貌似都救不了，系統(tǒng)掛了別找我…………）

軟件主界面如下（以下各圖的軟件界面皮膚可能不同，但結(jié)構相同）
 

進程部分通過遍歷PspCidTable，線程是遍歷ETHREAD,模塊通過ZwQueryVirtualMemory（）函數(shù)。

殺進程用的是清零法，和PspTerminateThread,驅(qū)動模塊遍歷是通過查找目錄對象.文件管理是通過發(fā)IRP到下

層的卷驅(qū)動,磁盤編輯用的是在驅(qū)動中操作物理對象\\.\PhysicalDrive0，或發(fā)srb給atapi
（更新：KsBinSword驅(qū)動代碼部分把代碼結(jié)構整理的清晰了；讀寫硬盤部分整合到KsBinSword.SYS中；把ｌｓｐ部分改成了進程監(jiān)控信息；使用的是XX狗發(fā)SRB到ATAPI的代碼，以前用的是逆別人的代碼。）
感謝：MTrickster、xhackx，cvcvxk、爐子、wowocock、 FlowerCode等提供代碼或建議！

 由于要加載驅(qū)動 360 可能會報木馬大家自已注意。

從看雪上面轉(zhuǎn)過來的軟件

http://bbs.pediy.com/showthread.php?t=78164