Aktuality

28. 9. 2007
Verze v2.13.2 přináší opravu vyhledávání skrytých DLL knihoven v procesech (při nalezení skrytého modulu totiž program "spadl").

25. 9. 2007
Verze v2.13 přináší vylepšení vyhledávání skrytcýh souborů. Nyní již zobrazuje skryté soubory i s cestou (dříve tomu tak na NTFS discích nebylo). Anti-rootkitový modul nyní vyhledává i skryté DLL knihovny v paměti procesů.

21. 9. 2007
Verze v2.12 přináší pouze drobná vylepšení. Byla předělána anti-rootkit kontrola. Snad k lepšímu.

3. 9. 2007
Verze v2.11 přináší hledání skrytých souborů na discích se souborovým systémem NTFS. Ale zatím to ještě není příliš dobré, protože se nezobrazuje umístění nalezených skrytých souborů, jenom jejich název. Trochu jsem také zapracoval na okně, které se zobrazí, když probíhlá hledání skrytých souborů - snad by už nemělo docházet k chybám

27. 8. 2007
Verze v2.10.2 opravuje některé chyby v programu, které se týkají nenadálých Access violation a vyhledávání skrytých souborů. Funkce zobrazování exportů v sekci "Paměť" na formuláři "Informace o modulu" byla dočasně odebrána, aby se zvýšila rychlost. Ale POZOR! Stále tam dost bugů zůstává, ale program by už měl být stabilnější.

20. 8. 2007
Verze v2.10 přináší tyto novinky:

Ne vše funguje úplně perfektně, takže s tím nedělejte žádné velké psí kusy.

19. 8. 2007
Po 1,5 měsíční přestávce vývoj Process Inspectora pokračuje. Verze 2.10 je na spadnuní - je jen nutné odstranit některé chyby a trochu dotáhnout některé funkce. Process Inspector v2.10 by měl být uvolněn během několika dní

18. 6. 2007
Process Inspector zvítězil v celostátní přehlídce SOČ, která se konala mezi 15. a 17. červnem v Prostějově.

8. 4. 2007
Vyvinuta verze v2.0.9, která nabízí mnohá vylepšení. Prohlíží tabulku vektorů přerušení, lépe vyhledává skryté procesy. Byly opraveny některé závažné chyby, díky kterým program nebyl schopen vyhledávat vkládané háky a přibyla další drobná vylepšení. Nyní si rovněž můžete stáhnout celou dokumentaci k projektu, většinu budou asi zajímat hlavně přílohy. Příloha A pojednává obecně o systémech rodiny Windows NT, příloha B popisuje některé techniky používané rootkity. Byly také provedeny testy s rootkitem phide_ex a výsledky jsou docela zajímavé.

22. 2. 2007
Přidána stránka "Testy". Najdete na ní výsledky testů Process Inspectora v2.0.8 s několika rootkity. Verzi 2.0.8 je rovněž možno stáhnout. Novinek a vylepšení je tolik, že jsem líný to sem napsat. Méžná se tu objeví později

2. 1. 2007
Opraveny některé chyby (hlavně prohlížení souborů) ve verzi v2.0.7. Nahrál jsem sem novou v2.0.7, takže by tam již chyby být neměly. Ale na funkci "Dump" si dávejte pozor - myslím si, že vím, kde ta chyba je, ale nejsem schopen ji odstranit. Možná to také záleží na SW, který používáte (Antivir atd). Každopádně na některých PC je vše bez problémů.

27. 12. 2006
Konečně tu máme další verzi - v2.0.7! Hodně jsem zapracoval na anti-rootkit kontrole - program vyhledává háky v user-mode modulech + kontroluje ssdt (odhalí dokonce i nechutné praktiky IceSwordu). Dále je možno nahlédnout do paměti jádra a dokonce její obsah uložit na disk (buď jako jeden soubor, nebo do adresáře ./Dump/kernel/). Byly opraveny některé bugy - a některé zůstaly. Přesvědčte se sami.

23. 12. 2006
Konečně jsem se zas dostal k Process Inspectoru. Dnes jsem trochu prověřoval jeho schopnosti odhalit skryté procesy. A neočekávané se stalo skutkem - program odhalí procesy skryté ze spojáku, do kterého si je ukládá jádro! V to jsem ani nedoufal. Ale hlavně jsem nedoufal, že se mi tak rychle podaří napsat ten testovací rootkit.

8. 12. 2006
Uvolněna verze v2.0.6. Novinek mnoho není, ale byly opraveny některé chyby. Program po svém ukončení odinstaluje z jádra ovladač gmem.sys. V záložce "SSDT" na hlavním formuláři se nyní zobrazují i názvy jednotlivých interních služeb operačního systému. Bylo vylepšeno zjišťování exportovaných funkcí modulu - nyní je nahráván modul přímo z paměti, ne z disku. Další vylepšení se týká samotného driveru gmem.sys - už nedochází k BSoD během čtení paměti jádra (ovladač je stejně zatím využíván pouze ke čtení SSDT, kde nikdy žádné problémy nenastávaly). A poslední novinka - opravil jsem chyby v anti-rootkit algoritmu, který zatím umí vyhledávat skryté procesy. Pozměnil jsem GUI tak, aby bylo možno zjistit nějaké informace o skrytých procesech, popř. je ukončit. Hledání však nefunguje perfektně - stává se, že zbytky po již ukončených procesech jsou identifikovány jako procesy "skryté". Pokud se vám taková věc přihodí, nechte si zobrazit více informací o skrytém procesu, popř. jej zkuste ukončit.

7. 12. 2006
Předevčírem mě v noci napadlo, jak vytvořit "neukončitelný" proces a našel jsem si čas, abych to vyzkoušel i v praxi. Úspěch byl poloviční. Proces byl opravdu neukončitelný (nelze ukončit TaskManagery), avšak nebyl schopen vykonávat užitečný kód. Jsem však toho názoru, že by bylo možné donutit jej vykonávat i požadovaný kód, ale to je jen teorie. Bližší podrobnosti zatím nezveřejním, protože:

Uvedené důvody však nevylučují možnost, že se to tu někde objeví.
Jinak samozřejmě pokračují práce na samotném Process Inspectoru a brzy vyjde nová verze. Pracuju hlavně na anti-rootkit kontrole, ale pořád se objevují nějaké problémy.

2.12.2006
Uvolněna verze v2.0.5. Ve formuláři "Informace o procesu" funguje i záložka "Obecné". Práce na driveru gmem.sys pokračují, ale zatím neúspěšně. Při čtení některých oblastí paměti dochází k BSoD PAGE_FAULT_IN_NONPAGED_AREA.

26.11.2006
Uvolněna verze v2.0.4. Nyní je program schopen zobrazit privilegia procesu - bohužel to u některých systémových procesů nefunguje. Dále byla vytvořena první anti-rootkit kontrola. Jedná se o hledání skrytých procesů. Zatím je tak triviální, že téměř žádný rootkit nebude mít problémy.

22.11.2006
Dnes jsem uvolníl verzi v2.0.3. Program v této verzi umí přečíst adresy System Service Descriptor Table (SSDT). Zatím nepozná, že je její obsah hákován (změněna některá data), ale myslím, že je to dobrý začátek