KsBinSword(IceSword)

KsBinSword 反病毒 源碼
學(xué)習(xí)驅(qū)動的好資料。
里面有開發(fā)文檔之類的一應(yīng)俱全。

運(yùn)行程序中的KsBinSword.exe即可。
由于本軟件使用了大量新穎的內(nèi)核技術(shù)，且
尚處于測試版，很多地方穩(wěn)定性不太好，有
時候會藍(lán)屏，請使用前務(wù)必保存好重要文檔！

（軟件處于測試階段，理論上只支持WIN xp sp2，且有可能會藍(lán)屏，大家提前做好準(zhǔn)備……另外里面的磁盤編輯器，大家小心點(diǎn)用，沒事別亂點(diǎn)驅(qū)動的寫入，影子模式貌似都救不了，系統(tǒng)掛了別找我…………）

軟件主界面如下（以下各圖的軟件界面皮膚可能不同，但結(jié)構(gòu)相同）
 

進(jìn)程部分通過遍歷PspCidTable，線程是遍歷ETHREAD,模塊通過ZwQueryVirtualMemory（）函數(shù)。

殺進(jìn)程用的是清零法，和PspTerminateThread,驅(qū)動模塊遍歷是通過查找目錄對象.文件管理是通過發(fā)IRP到下

層的卷驅(qū)動,磁盤編輯用的是在驅(qū)動中操作物理對象\\.\PhysicalDrive0，或發(fā)srb給atapi
（更新：KsBinSword驅(qū)動代碼部分把代碼結(jié)構(gòu)整理的清晰了；讀寫硬盤部分整合到KsBinSword.SYS中；把ｌｓｐ部分改成了進(jìn)程監(jiān)控信息；使用的是XX狗發(fā)SRB到ATAPI的代碼，以前用的是逆別人的代碼。）
感謝：MTrickster、xhackx，cvcvxk、爐子、wowocock、 FlowerCode等提供代碼或建議！

 由于要加載驅(qū)動 360 可能會報(bào)木馬大家自已注意。

從看雪上面轉(zhuǎn)過來的軟件

http://bbs.pediy.com/showthread.php?t=78164