一个ARK工具XueTr.017
最近整理的一个小工具,学习window驱动的一个附属品,目前还很弱,最近没时间整了,以后有时间的话会加强,目前初步在我的 2000 sp4, xp sp1/sp2/sp3, 2003(含sp1/sp2/r2), vista(含sp1), 2008版本Window虚拟机下运行良好。下载链接见文章末尾 本工具目前初步实现如下功能: 1.进程、线程、进程模块、进程窗口信息查看,杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看,支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、IDT信息查看,并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除 5.端口信息查看,目前不支持2000系统 6.查看消息钩子 7.内核模块的iat、eat、inline hook、patchs检测和恢复 8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除 9.注册表编辑 10.进程iat、eat、inline hook、patchs检测和恢复 11.文件系统查看,支持基本的文件操作 12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持 13.ObjectType Hook检测和恢复 免责声明:这只是一个免费的辅助小工具,如果您使用本工具,给您直接或者间接造成损失、损害,本人概不负责。从您使用本小工具的一刻起,将视为您已经接受了本免责声明。 0.17更新说明: 1.增加了卸载消息钩子 2.增加了枚举窗口,和对窗口的操作 3.增加了禁止待机、注销、关机和重启功能 0.16更新说明: 1.界面语言自适应(在中文操作系统上是中文,其它操作系统是英文) 2.注册表部分引入了Hive分析,默认是不开启,如果要使用可以用”使用Hive分析”菜单,选择了这个就不会用驱动获取注册表了 3.加了自我保护 4.增加禁止创建进程、线程、文件以及禁止加载模块和消息钩子模块注入功能 5.改了几个界面的小问题,我的界面写作能力很菜,不表了 6.还增强了下内核模块钩子检测(还有提升空间,不想搞了) 0.15更新说明: a.新增进线程挂起(恢复)功能 b.文件枚举部分,加入了NTFS、FAT32、FAT16文件系统的解析功能,发现隐藏文件的能力有所加强,当然这需要时间,如果你不想打开物理磁盘分析功能,可以用Close Disk Analyst菜单关闭之 c.本版有若干小改进,不表 0.14更新说明: a.新增ObjectType Hook检测功能(这个功能的实现参考了sudami写的文章,感激) b.修正无法列举移动存储介质(U盘等)里的文件bug(感谢annybaby指出) c.修正File和Rigister显示界面,当多次最小化最大化后,树形控件宽度逐渐变窄bug(感谢li58指出) 0.13更新说明: a.调整界面 b.新增操作IE插件、SPI、启动项、服务、映像劫持、Host文件等功能 c.修正一处filter显示bug(感谢dl123100指出) 0.12更新说明:解决了在装有微点的机器上全是空白的情况 0.11更新说明:解决了在某些机器上全是空白的情况
页:
[1]