XueTr 0.28
作者Blog:www.linxer.cn本工具可以在2000、XP(sp1/sp2/sp3)、2003(sp1/sp2/r2)、Vista(sp1)和2008下使用。
本工具目前初步实现如下功能:
1.进程、线程、进程模块、进程窗口信息查看,杀进程、杀线程、卸载模块等功能
2.内核驱动模块查看,支持内核驱动模块的内存拷贝
3.SSDT、Shadow SSDT、FSD、IDT信息查看,并能检测和恢复ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除
5.端口信息查看,目前不支持2000系统
6.查看消息钩子
7.内核模块的iat、eat、inline hook、patchs检测和恢复
8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除
9.注册表编辑
10.进程iat、eat、inline hook、patchs检测和恢复
11.文件系统查看,支持基本的文件操作
12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持
13.ObjectType Hook检测和恢复
如果您对window系统不甚熟悉,您还是不要使用本工具,即使要使用,也不要用本工具胡乱操作。
基于以下原因,由本工具直接或者间接导致的问题,本人概不负责:
1.本人水平很菜,尤其是window内核方面,最多只能算个初学者,本工具也只是我最近学习的一个附属品
2.由于本人是window内核初学者,为了在内核写更多的代码,以提高本人水平,本人把尽量多的代码写在了内核层
3.最近比较忙,虽然本人在各系统里(2000/xp/2003/vista/2008)经过了仔细的测试,但还是难免有疏忽的地方
致谢:
感谢angel13th、backway、dl123100、曲中求、tawny2008、wolfwalk888(字母序排列)卓有成效的测试(建议),十分感激,没齿难忘。
2009-07-07(七七事变) 0.28版本:
1.新增对IE右键菜单的操作
2.新增禁止修改系统时间功能
3.Notify Routine中新增CmpCallback显示、移除功能
4.修正一处Hive解析Bug(dl123100指出)
5.修正一处启动项枚举不全Bug(dl123100指出)
學習學習,頂下LZ,謝謝分享! 不错的东西 支持了拿走了。。。嘻嘻 很好工具啊,会用得到的。 以前用过2.4觉得不错,下个2.7做收藏 下这个东西太贵了