XueTr(简称XT)是一个强大的系统信息查看软件,也是一个强大的手工杀毒软件,用它可以方便 揪出电脑中的病毒木马,目前它支持32位的2000、XP、2003、Vista、2008、Win7系统。xuetr是一个不收费的清毒协助小器材,能够得到系统最高权力,可以视察线程构件,视察隐蔽线程,从而抓出(到外面)病毒恶意计算机代码。xuetr成为壹个崭新产生出来的ark器材,很拥有潜力,软件街推荐!xuetr支撑win2000xp(最流行操作系统,原来的名称是Whistler)/vista(微软Windows操作系统的一个版本)/2003/2008/WIN(视窗操作系统简称)。
XueTr是也一款广受好评的ARK工具,涉及到系统底层,使用时经常遇到系统中很多不明文件!为了方便用户识别文件并鉴定是否有风险,增加了火眼文件分析功能,用户遇到可疑文件一键分析即可得到完整的文件行为报告,使用更方便!
XueTr与著名的冰刃(IceSword)不相上下,XueTr能够具备冰刃的注册表管理功能,即完全显现 隐藏的注册表键值、获取任意注册表键值的最高权限等;另XueTr删除文件的功能已经超越了刃, 并且有Unlocker所不具备的解锁隐藏文件能力,而在杀进程方面,XueTr比冰刃强大,但是操作更为友好和安全些。
关于ARK工具英文(Anti Rootkit) 反内核工具,又叫ARK工具,大名鼎鼎的冰刃是其中的代
表,其他著名的还有wsyscheck 。天琊, XueTr是新兴的工具代表,在一定程度上超越了冰
刃和wsyscheck,但是知名度不如前两个。冰刃由于长期未更新,目前在win7系统下无法使
用。xuetr和wsyscheck 适用于win7系统,可用来手工查杀病毒。
VB中调用句柄:
我们要打开进程,获取进程句柄流程如下:
VB调用户层API---->1.NtOpenProcess
--->2.PsLookupProcessByProcessId
--->3.ObOpenObjectByPointer
--->4.最终得到获取进程的句柄
这个函数只要一个函数被挂钩,最终都是无法得到进程句柄。
ssdt hook 我们一般不用看,很少游戏公司会考虑了,一般都是inline hook,比如HOOK NtOpenProcess 这个只有GPK
之类会做inline hook,TP 的话就比较狡猾了做了一个更深层次的内核函数HOOK 。即 TP不是直接去
hook NtOpenProcess ,而是 HOOK 该函数的子函数 ObOpenObjectByPointer,导致我们获取进程句柄失败。因为
NtOpenProcess 在内核中 是由 PsLookupProcessByProcessId 和ObOpenObjectByPointer 构成的。只要这两个
函数中有一个被HOOK的话 ,那么就无法获取进程句柄的。
但是游戏公司也会考虑到兼容性的问题。很少会 做 更深更深更深的子函数HOOK。所以为了防止你们恢复内核函数,便做
了自动校验,恢复的话就给你们蓝屏。但是这种技术,也有漏洞,自己去挖掘吧。。。TP就会自动校验。
- 本工具目前初步实现如下功能:
- 1.进程、线程、进程模块、进程窗口、进程内存、热键、定时器信息查看,杀进程、杀线程、卸载模块等功能
- 2.内核驱动模块查看,支持内核驱动模块的内存拷贝
- 3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT信息查看,并能检测和恢复ssdt hook和inline hook
- 4.CreateProcess、CreateThread、LoadImage、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除
- 5.端口信息查看,目前不支持2000系统
- 6.查看消息钩子
- 7.内核模块的iat、eat、inline hook、patches检测和恢复
- 8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除
- 9.注册表编辑
- 10.进程iat、eat、inline hook、patches检测和恢复
- 11.文件系统查看,支持基本的文件操作
- 12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则
- 13.ObjectType Hook检测和恢复
- 14.DPC定时器检测和删除
- 15.WorkerThread枚举
- 16.MBR Rootkit检测及其修复
嗯~不错不错~
感谢支持! 有64位的吗 sad法萨芬萨芬撒分散大
页:
[1]