天琊
天琊神剑天琊(tian ya)
天琊剑——九天异铁炼制仙剑,天琊出鞘,蓝光顿起,。
《异宝十篇》记载,天琊最早出现是在一个散仙枯心上人手中,传说这法宝乃九天异铁落入凡间,枯心上人在北极冰原偶得,修炼而成。
在《诛仙》中,传说“枯心上人”以天琊神剑,与魔教炼血堂堂主黑心老人激斗了三日三夜,最后重创黑心老人。从此‘天琊’之名响彻世间,成了可以克制魔教至凶之物噬血珠的绝世圣剑,成了修真人士心中梦寐以求的神物法宝。后落到小竹峰一脉,为陆雪琪所有。
陆雪琪所用法宝,尊为神物。剑气如虹,蓝光鼎盛。爱憎分明,坚韧如人。至刚之时,不屈,不从,无怨,无悔。情到柔处,似云,似雾,吹不散,摸不透。本为噬魂棒(噬血珠)相克之物,因双方主人情之所动,也成了一对俏冤家 。
天琊自述天琊——天涯(自述)
自古以来,我就是一把剑,剑身通透着莹蓝色光辉。
我是剑灵,是神剑不可缺少的一部分。
世人对我很是敬仰,又因我是在一个被命名为天涯海角的地方被发现的,所以称我为:天琊。
他们取了偕音来叫我,我也默认了这个名字。
那天,我背着自己的剑身,骑马飞驰。
远远见到一个男子,周身遍布黑色煞气,模样古怪。
周围满是村民,都惊恐的看着那个男子。
想都没想,一剑刺去。
他顿了顿,手中拿出了什么。
那可是魔教圣物噬魂棒?
红光大盛,那确是噬魂棒。
我不除这妖孽,那天下苍生必为之所害。
我捏了捏法决,念起了古咒:
九天玄刹,化为神雷。
煌煌天威,以剑引之.
他念了什么,声音如鬼啸,霎时间天地变色。
万鬼聚集此地,它们有的尖啸,有的呆滞。
好一个魔教弟子,如此之高的修行。
那巨雷直劈鬼群,霎时间,惨叫声震耳欲聋。
只见雷电过后,那个男子到在了地上,一动不动。
我缓步上前,探其鼻息。
还活着?被我神剑御雷真决劈中的人还能活者?
我拉起他,将他拖进草庙村的一间无人居住的小房子里。
三天后
床上的人动了动,他坐了起来。
“醒了?”我头也不回的问道。
“....”他直勾勾的看着我走近他。
“你做什么?”他看着我手上的药膏,皱眉问道。
“换药。”我把他肩上的大片纱布揭去,只见那伤,三天前还皮开肉绽的地方,就要痊愈了。
“谢谢。”
我从来没有正视过这个男子,凭感觉,好像就是个普通的魔教弟子而已。
“你是谁。”我不带问意说道。
“噬魂。”
“嗯?”
“怎么了。”
“你是这凶物的...”
“没错。”
我实在没有想到,原来噬魂的守护灵就是他。
细细看来,这个男子容貌俊朗的让人不敢正视。
我轻叹一声,走开了。
又是三日
他的伤已经完全好了,他那天问我为什么不杀了他。
我说我不想乘人之危。
他笑笑,我心想:原来大凶之物的守护灵是这么温文尔雅的。
那天他问我能不能把我脸上的白纱摘掉,让他记住我的容貌。
我不肯,他笑着说我是个丑女,所以不敢以面目示人。
我不做声,淡然的看着他。
摘掉那白纱的下一秒,他愣住了。
然后他随即问我:“你为什么不把这纱摘了去,如此容颜,何不示以众人?”
我云淡风轻的回答:“这人间难料之事太多,红颜祸水,自当掩面。”
他只是笑笑,然后转身走掉。
一晃又是百年
那天是樱花盛开的日子,照习俗我也去赏花。
天色正好,万里晴空。
人们汇聚河阳,脸上满是兴奋的神色。
有的人赞叹,有的人发呆。
我就在人群里,看到了他,还有一个女子。
他们两个站在一起,欣赏着漫天樱花。
我没有戴白纱,默默的看着他们。
突然他看到了我,嘴角挂上了玩世不恭的笑容,牵着那个女子的手向我走来。
我装作没看见他们,闪进了人群。
那次樱花还是开败了,那天他也没能找到我。
在拥挤的人群里,我看着他那般疯狂的找我。
当人流太多,终是把我掩盖了。
我只是一个剑灵而已。
我时常告诫自己。
我不能爱上任何人或者守护灵。
他牵着的那个女孩,也许就是伤心花的守护灵。
早有耳闻伤心花的守护灵一身水绿色衣服,号称惊艳天下。
而我,所有守护灵里最默默无闻的一个。
我们终是无法相提并论的。
那天河阳城出现了一个叫灭天的怪物。
它肆虐的杀戮,没有把我看在眼里。
而我也不在意它的肆意妄为。
看到一个个剑灵飞身而上然后倒在一边,我嘴角是玩世不恭的微笑。
但是它伤到了伤心花,而噬魂,他呆坐在一边,眼看着灭天冲过来,无动于衷。
我挡在了他们身前。
“一个小小的剑灵,何足挂齿?”它看着我,满脸不屑。
没有给它说完台词的机会,我又念起了神剑御雷真决。
这招必杀技虽然会耗费我很多体力,但绝对能够诛杀灭天。
天降巨雷,威震九天。
那蓝白相交的巨大闪电劈中了灭天。
只见灭天丑恶的身躯慢慢消失,化为尘埃。
许多剑灵看着我,惊异的说不出话来。
被他们喻为容颜堪丑,无法以对众人的那个剑灵,此刻一击震彻天地。
我知道此刻我的样子是多么的让人无法挪开视线。
那张我拥有了千年的面容,迎着风,伴随着青丝的舞动让人不敢逼视。
天琊“天琊 V1.0(测试版)”是一款集进程管理,文件管理,SSDT服务表管理,SHADOW服务表管理,内核
模块察看,Inline Hook扫描,日志导出,保险箱,主动防御(主要针对保险箱功能)于一身的强大的安全反病毒辅助工具。
进程管理:
提供了丰富的进程相关信息。分别有“状态”(主要是标志是否是隐藏进程和保护的进程,保护的进程主要是针对于保险箱功能的),“映像名”(进程名),“PID”(进程ID,正常情况下此ID是唯一的,是进程的标识符),“父PID”(指创建此进程的进程ID,这方便察看进程的家族,也可以帮助分析病毒所属文件等),“用户名”(进程所属用户,比如System,这个现非常有用,现在很多病毒都会伪装成系统文件一样的进程名导致系统自带的进程管理器误认为他们是系统进程,就算是用户发现了也无法终止其运行,但是此类病毒一般都有个特点就是进程用户名不是System,当然也有病毒能把用户名也隐藏了,这样我们可以继续从进程路径上进行判断),“EPROCESS”(此项对于一般用户没什么用,对于一些搞内核研究的人有点用因为它是指向进程的内核对象可以用一些调试工具察看出丰富的进程信息),“进程路径”(进程对应的文件路径,此项可以排查一些伪装系统进程的程序,也他们能伪装进程名却很难伪装系统进程的文件路径)。
强大的反进程隐藏功能,分别提供三种级别的进程隐藏检测方式。“枚举进程方式1”是用常规的枚举SessionProcessLinks链表实现,用此方式枚举出来的进程有这样一个优点---枚举出来的进程是按启动顺序排列的,最后启动的进程永远在最后一个,这样可以很容易的察看一些可以进程。“枚举进程方式2”是以枚举系统句柄表方式来枚举进程的。此法可以枚举出脱链的隐藏进程方式的程序。“枚举进程方式3”是一种综合方式可以枚举出目前大部分的隐藏进程(目前还没发现枚举不出来的隐藏进程).
强大的杀进程功能。本程序提供的杀进程方式主要提供4种方式,分别是:“终止进程”(常规的以NtTerminateProcess方式),“强制终止”(以投递APC方式杀进程,使用此方式查杀进程的时候需要注意一下,此方式查杀强度非常高,在目前测试中没有杀不了的进程,但是有时在查杀一些顽固的进程的时候会显示会隐藏,这样大家不要大惊小怪,其实目标进程已经被终止了,请不要再次使用此方式终止,这样很有可能造成系统蓝屏事件),“特征码终止”(此方式是结合了第一种方式再加上特征码验证,使用此方式结束了的进程将无法再次启动,如果无意中结束错了,可以在“高级操作”里选择特征码管理,在里面把其删除即可,此方式的设计主要是针对一些多进程相互守护的病毒程序,如果用户不能直接判断出病毒文件或者总是终止后又起来就可以选择此方式),“特征码强制终止”(此方式是结合“强制终止”方式和特征码验证,效果和第三种方式一样,只是强度高了很多,注意此方式结束的进程也不能使用再次结束)
高级操作。除了上面说的两种特征码方式结束进程为还提供以下功能:“强制删除文件”(此功能可以强制删除进程对应的文件,此功能请慎重使用,因为此功能可以把正在运行中的进程对应的文件删除,一旦把系统的重要文件强制删除了就OVER了),“扫描进程钩子”(目前版本还没加入此功能,下个版本提供),“进程内存清零”(此功能主要是为了对付一些变态的进程保护强度已经不能用强制终止进程方式结束的进程,目前还没发现这样的程序。那么我们就可以使用此方式把邪恶的进程内存清零),“添加保护进程”(此功能是为“保险箱”功能设计,我下面再做详细说明),“从文件中添加保护进程”(此功能是为“保险箱”功能设计,我下面再做详细说明),“添加阻止进程”(此功能设计是为了对付一些杀了又起的程序和特征码方式终止是一回事,区别在于是在使用的时候没把进程结束,方便继续分析此进程),“从文件中添加阻止进程”(此功能设计可以把一些病毒或者你讨厌的程序添加进此列表中那么就算你无意中运行起了此程序,那么我的程序也会阻止其运行),“特征码管理”(主要是对保护进程和阻止进程一些在主动防御上永远拒绝的对象的管理,你可以删除其中任何一项)。“高级操作”里的功能主要是为。反病毒设计的,所以在使用的时候请慎重。
线程相关。本程序提供了两种枚举线程的方式。“枚举线程方式1”此方式是以线程链表方式枚举线程的。“枚举线程方式2”是一个综合的枚举方式,可以对付大部分对线程隐藏的程序(目前还没发现检测不出来的)。
线程信息,包括有:“线程类型”主要用来区别系统线程和一般线程,此项是用于标识一些恶意程序更改了SystemThread标志来保护进程的程序。“TID”线程的ID,是线程的标识符。“ETHREAD”对一般用户没用,对于内核研究人员可以方便用此值用一些调试软件察看出丰富的线程信息。“Teb”对于一般用户也没用。“Priority” 线程优先级别。“起始地址”线程执行第一条指令的地址,主要是用来取线程所在模块的。“所在模块”线程所在的模块。
线程的终止。线程的终止也提供了两种方式,一种是常规的NtTerminateThread方式,另一种是高强度的APC方式。
模块相关。目前模块只提供了浏览功能。卸载功能将在下个版本中提供。分别以两种方式来浏览模块,“枚举模块方式1”是通过PEB的方式来枚举进程模块,此方法的优点是枚举出来的模块是按先后加载顺序排列起来的,最后加载的永远在最后,这样也方便察看了哪些模块可疑了。“枚举模块方式2”是在驱动层下用NtQueryVirtualMemory方式枚举的,此方式效果非常好,一般隐
功能下个版本提供。
模块查询。此功能可以在整个系统的所有进程中对关键字的模块进行查询,速度非常快。
文件管理:
文件管理提供了,隐藏文件(API HOOK方式隐藏的文件)的察看,文件强制删除,破坏文件,解锁文件,复制文件(可以复制特殊文件,比如SAM等注册数据库文件)。
“普通删除”,此功能和“DeleteFile”一样。
“强制删除”,此功能提供了高强度文件的删除功能,可以删除正在运行中的进程对应文件,和一些使用中的文件。
“解锁文件”,此功能可以解除一些恶意或者病毒程序为了达到不让别人删除其文件,把自身文件以独占方式打开,这样其他进程就无法访问其文件,此项功能正好可以解除此类方式锁定的文件。
“破坏文件”,此功能可以把一些正常的文件进程破坏,其实应该说是重新填0,此功能清慎重使用,因为此功能可以把一个正在运行中的程序文件破坏。
“复制到...”,此功能可以把一个文件或者多个文件复制到一个新目录下。此功能可以过一些进行API进行文件防复制的程序,还可以复制SAM等注册表文件。
“解锁并强制删除”,此功能结合了解锁和强制删除功能为一体,这样就算程序正在运行并且锁定了也一样可以把其删除。
SSDT服务表管理:
SSDT服务表管理提供了对SSDT服务表的信息察看和修改,可以察看到什么驱动文件对某些函数进行了挂接,并可以进行恢复。程序提供了两种浏览方式:“显示所有服务函数”此功能会把服务表所有函数信息显示出来,包括已经被挂接了的,如果你觉得此方式不能直观的察看被挂接的函数可以使用“显示HOOK服务函数”,此功能会把所有已经被挂接的函数列出来。“恢复选定服务函数”,此功能可以轻松恢复你选择的函数。
SHADOW服务表管理:
SHADOW服务表管理提供了对SHADOW服务表的信息察看和修改,可以察看到什么驱动文件对某些函数进行了挂接,并可以进行恢复。程序提供了两种浏览方式:“显示所有服务函数”此功能会把服务表所有函数信息显示出来,包括已经被挂接了的,如果你觉得此方式不能直观的察看被挂接的函数可以使用“显示HOOK服务函数”,此功能会把所有已经被挂接的函数列出来。“恢复选定服务函数”,此功能可以轻松恢复你选择的函数。
内核模块察看:
可以察看所有内核模块。
Inline Hook扫描:
此版本只针对Ntosxxxx/ntkxxxx进程扫描,下个版本再添加其他文件的扫描.此功能可以察看在Ntosxxxx/ntkxxxx上挂接的Inline Hook,并且可以对其恢复。
日志导出:
主要是针对主动防御的日志进行导出备份。
保险箱:
此功能,可以防止一些木马和盗好程序。程序从窗体,和进程内存以及防止远程注入等手段来达到“保险箱”的功能。
使用方法。要使用此功能可以以两种方式加载需要保护的程序。第一种从进程功能里选择“高级操作”再在里面选择“添加保护进程”即可。也可以选择“从文件中添加保护进程”,这种方法更灵活,一但被添加的文件在任何时候任何地方以任何文件名,只要我的程序处于启动状态就可以保护被启动的文件,不受文件路径和文件名等限制只以特征码方式判断。而且只要具备此特征码的程序只要一启动都会被保护起来,比如说我们添加了IE程序那么无论你启动多少个IE都会被保护起来(注意这里最好不要保护EXPLORER进程因为你一但保护其他进程就看不到他的窗体信息了)。一但被保护的的进程的窗体信息将会被保护起来,其他进程无法访问它的窗体信息和窗体句柄。这样可以防止一些盗好程序通过键盘钩子特征定位到程序来进行键盘拦截纪录。内存信息也无法被其他进程访问,也无法注入其进程。如果你的程序有什么附加程序需要访问它的内存和窗体信息你当程序弹出询问框的时候你可以“允许”,“信任一次”,“永远信任”等操作。“允许”只是通过当次触发,“信任一次”可以在我的程序退出前都通过,“永远信任”将会把信任的程序也加为保护进程中并且可以永远访问受保护的进程。
主动防御:
此功能主要是针对保险箱设计的。主要是针对窗体信息的拦截,内存读写,内核空间读写,以及常见后门程序的拦截(比如灰鸽子程序).