好友
阅读权限40
听众
最后登录1970-1-1
|
作者Blog:www.linxer.cn
本工具可以在2000、XP(sp1/sp2/sp3)、2003(sp1/sp2/r2)、Vista(sp1)和2008下使用。
本工具目前初步实现如下功能:
1.进程、线程、进程模块、进程窗口信息查看,杀进程、杀线程、卸载模块等功能
2.内核驱动模块查看,支持内核驱动模块的内存拷贝
3.SSDT、Shadow SSDT、FSD、IDT信息查看,并能检测和恢复ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除
5.端口信息查看,目前不支持2000系统
6.查看消息钩子
7.内核模块的iat、eat、inline hook、patchs检测和恢复
8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除
9.注册表编辑
10.进程iat、eat、inline hook、patchs检测和恢复
11.文件系统查看,支持基本的文件操作
12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持
13.ObjectType Hook检测和恢复
如果您对window系统不甚熟悉,您还是不要使用本工具,即使要使用,也不要用本工具胡乱操作。
基于以下原因,由本工具直接或者间接导致的问题,本人概不负责:
1.本人水平很菜,尤其是window内核方面,最多只能算个初学者,本工具也只是我最近学习的一个附属品
2.由于本人是window内核初学者,为了在内核写更多的代码,以提高本人水平,本人把尽量多的代码写在了内核层
3.最近比较忙,虽然本人在各系统里(2000/xp/2003/vista/2008)经过了仔细的测试,但还是难免有疏忽的地方
致谢:
感谢angel13th、backway、dl123100、曲中求、tawny2008、wolfwalk888(字母序排列)卓有成效的测试(建议),十分感激,没齿难忘。
2009-07-07(七七事变) 0.28版本: 1.新增对IE右键菜单的操作
2.新增禁止修改系统时间功能
3.Notify Routine中新增CmpCallback显示、移除功能
4.修正一处Hive解析Bug(dl123100指出)
5.修正一处启动项枚举不全Bug(dl123100指出)
XueTr0.28.zip
(409.77 KB, 下载次数: 594)
|
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
发表于 2009-6-3 17:47
发表于 2009-6-6 21:41
