|
3127| 3
|
【XT 发布一个XueTr-火眼合作版本,内嵌了金山火眼行为分析查询模块】【很好的教程】 |
XueTr(简称XT)是一个强大的系统信息查看软件,也是一个强大的手工杀毒软件,用它可以方便 揪出电脑中的病毒木马,目前它支持32位的2000、XP、2003、Vista、2008、Win7系统。xuetr是一个不收费的清毒协助小器材,能够得到系统最高权力,可以视察线程构件,视察隐蔽线程,从而抓出(到外面)病毒恶意计算机代码。xuetr成为壹个崭新产生出来的ark器材,很拥有潜力,软件街推荐!xuetr支撑win2000xp(最流行操作系统,原来的名称是Whistler)/vista(微软Windows操作系统的一个版本)/2003/2008/WIN(视窗操作系统简称)。 XueTr是也一款广受好评的ARK工具,涉及到系统底层,使用时经常遇到系统中很多不明文件!为了方便用户识别文件并鉴定是否有风险,增加了火眼文件分析功能,用户遇到可疑文件一键分析即可得到完整的文件行为报告,使用更方便! XueTr与著名的冰刃(IceSword)不相上下,XueTr能够具备冰刃的注册表管理功能,即完全显现 隐藏的注册表键值、获取任意注册表键值的最高权限等;另XueTr删除文件的功能已经超越了刃, 并且有Unlocker所不具备的解锁隐藏文件能力,而在杀进程方面,XueTr比冰刃强大,但是操作更为友好和安全些。 关于ARK工具英文(Anti Rootkit) 反内核工具,又叫ARK工具,大名鼎鼎的冰刃是其中的代 表,其他著名的还有wsyscheck 。天琊, XueTr是新兴的工具代表,在一定程度上超越了冰 刃和wsyscheck,但是知名度不如前两个。冰刃由于长期未更新,目前在win7系统下无法使 用。xuetr和wsyscheck 适用于win7系统,可用来手工查杀病毒。 VB中调用句柄: 我们要打开进程,获取进程句柄流程如下: VB调用户层API---->1.NtOpenProcess --->2.PsLookupProcessByProcessId --->3.ObOpenObjectByPointer --->4.最终得到获取进程的句柄 这个函数只要一个函数被挂钩,最终都是无法得到进程句柄。 ssdt hook 我们一般不用看,很少游戏公司会考虑了,一般都是inline hook,比如HOOK NtOpenProcess 这个只有GPK 之类会做inline hook,TP 的话就比较狡猾了做了一个更深层次的内核函数HOOK 。即 TP不是直接去 hook NtOpenProcess ,而是 HOOK 该函数的子函数 ObOpenObjectByPointer,导致我们获取进程句柄失败。因为 NtOpenProcess 在内核中 是由 PsLookupProcessByProcessId 和ObOpenObjectByPointer 构成的。只要这两个 函数中有一个被HOOK的话 ,那么就无法获取进程句柄的。 但是游戏公司也会考虑到兼容性的问题。很少会 做 更深更深更深的子函数HOOK。所以为了防止你们恢复内核函数,便做 了自动校验,恢复的话就给你们蓝屏。但是这种技术,也有漏洞,自己去挖掘吧。。。TP就会自动校验。
购买主题
已有 5 人购买
本主题需向作者支付 5 元宝 才能浏览
本帖被以下淘专辑推荐:
| |
 |
|
| ||
|
|
||
| ||
雷达卡
发表于 2014-6-3 22:29:09
提升卡
置顶卡
沉默卡
变色卡
显身卡
发表于 2015-4-7 15:40:17
发表于 2020-5-7 17:02:39
