xuetr
ARK工具
xuetr是2008年linxer制作的一款ARK工具,该软件大小2,177,024 字节。
工具概述
如果您对windows系统不甚熟悉.,您还是不要使用本工具,即使要使用,也不要用本工具胡乱操作。
2008年12月发布于卡饭论坛
由于XueTr已经具备基本需要功能,已经减少更新次数和频率。
注意:由于XT要深入系统底层并加载驱动,部分杀毒软件可能会报毒,如有报警请选择放过;请不要新老版本同时使用,否则会导致使用问题,如部分功能不显示(白板)等。
Help In English:
XueTr is a free anti-virus&rootkit utility. It offers you the ability to detect, analyze and fix various kernel structure modifications and gives you a wide scope of the kernel.With its help,you can easily spot and remove malwares hidden from normal software.
XueTr currently supports the following Windows 32-bit versions:
Windows 2000 SP4
Windows XP (no SP,SP1, SP2, SP3)
Windows Server 2003 (no SP,SP1,SP2,R2)
Windows Vista (no SP,SP1,SP2)
Windows Server 2008 (no SP,SP1)
Windows 7
协议
linxer保留所有权利。
本授权协议(以下简称 “本协议”)适用于linxer研发的XueTr(以下简称 “本软件”)。
在您阅读本协议后若不同意此协议中的任何条款,或对本协议存在质疑,请立刻停止使用本软件。您一旦开始安装或使用本软件,则表示您已阅读并同意本协议的所有条款之约定。协议许可范围以外的行为,将直接违反本授权协议并构成侵权,作者有权随时终止授权,责令停止损害,并保留追究相关责任的权力。
一、协议许可的权利
1、您可以在完全遵守本最终用户授权协议的基础上,将本软件应用于非商业用途,而不必支付软件版权授权费用。
2、在保证本软件完整性的前提下,您可以自由的分发、散播、使用本软件,但必须不以盈利为目的。
3、您享有反映和提出意见的权力,相关意见将被作为首要考虑,但没有一定被采纳的承诺或保证。
二、协议规定的约束和限制
1、未获商业授权之前,不得将本软件用于商业用途。申请商业授权请来函至作者邮箱
2、禁止对本软件进行全部或部分地翻译、分解、反向编译、反汇编等反向工程。
3、不得对本软件或与之关联的商业授权进行出租、出售、抵押或发放子许可证。
4、禁止把本软件用于不利于社会和谐的场合,比如破解网吧收费系统等。
三、有限担保和免责声明
1、本软件及所附带的文件是作为不提供任何明确的或隐含的赔偿或担保的形式提供的。
2、作者不保证本软件的所有功能都能正常工作。
3、用户使用本软件,必须了解使用本软件的风险。无论遵循本协议与否,作者在任何情况下均不会因使用或不能使用本软件而发生的任何损失(包括但不限于电脑系统损坏、文档、数据流失、业务中断或其他经济损失)承担任何直接、间接、附带、衍生或惩罚性的赔偿责任,即使已通知作者有可能发生该损失的亦是如此。
linxer 版权所有
CopyRight 2008-2011 linxer, All Rights Reserved
使用
1.到官网指定链接下载XueTr最新版本
2.解压文件,阅读使用说明
3.此工具将加载驱动XueTr.sys,不加驱动会导致大部分功能不能使用,如果有拦截请通过
4.如检测到线程注入XueTr将会出现提示窗口,确定后才可以打开主界面进行操作
5.切勿随意使用,否则可能导致系统问题
免责声明:
基于以下原因,由本工具直接或者间接导致的问题,本人概不负责:
1.本人水平很菜,尤其是windows内核方面,最多只能算个初学者,附属品
2.由于本人是windows内核初学者,为了在内核写更多的代码,以提高本人水平,本人把尽量多的代码写在了内核层
3.因为比较忙,虽然本人在各系统里(2000/xp/2003/vista/2008)经过了仔细的测试,但还是难免有疏忽的地方
功能
1.进程、线程、进程模块、进程窗口、进程内存信息查看,热键信息查看,杀进程、杀线程、卸载模块等功能
2.内核驱动模块查看,支持内核驱动模块的内存拷贝
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、IDT信息查看,并能检测和恢复ssdt hook和inline hook
4.CreateProces、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routne的删除
5.端口信息查看,不支持2000系统
6.查看消息钩子
7.内核模的i、eat、inlnehook、patches检测和恢复
8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除
9.注册表编辑
10.进程iat、e.t、inline ok、pache检测和恢复
11.文件系统查看,支持基本的文件操作
12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联
13.ObjectType Hook检测和恢复
14.DPC定时器检测和删除
15.MBR Rootkit检测和修复
16.内核对象劫持检测
17.WorkerThread枚举
配置工具:禁止创建线程、进程、文件、注册表值、加载模块、注入消息钩子、禁止待机、注销、关机、重启、修改系统时间、切换桌面、锁定计算机、重置注册表值、加载驱动
关机:强制重启/更为暴力的强制重启
其他:窗口置顶
颜色
1.驱动检测到的可疑对象,隐藏服务、进程、被挂钩函数 → 红色
2.文件厂商是微软的 → 黑色
3.文件厂商非微软的 → 蓝色
4.如果您效验了所有签名,对没有签名的模块行 → 粉红色
5.进程标签下,当下方使用模块窗口时,对文件厂商是微软的进程,会检测其所有模块,如果有模块是非微软的 → 土黄色
配置文件
说明
XT配置文件是从0.31版本开始引入的,它可以控制一些XT的检测行为。这个文件必须和XT主程序一样的名字,且后缀名必须为.config,比如如果XT的主程序名字是XueTr.exe则配置文件必须为XueTr.config,如果XT的主程序名为KillVirusTool.exe则配置文件必须为KillVirusTool.config。
配置文件采用分号做注释,一行中分号后的内容将被XT直接忽略。
释义:
1、SelfProtection字段:决定是否开启自我保护,设置成0表示关闭自我保护功能,设置成3表示开启全部自我保护,设置成2表示只开启窗口保护(Shadow SSDT上的保护),设置成1表示开启SSDT上的保护。如果没有什么特殊要求,建议您不要开启自我保护,尤其一些游戏玩家。因为自我保护会Hook系统内核某些函数,一些游戏保护软件检测到这些函数被Hook,会立即重启系统......
2、StayOnTop字段:决定XT启动的时候是否窗口置顶,设置成0表示不置顶,设置成1表示置顶。
3、OpenPhysicalDiskAnalysis字段:决定枚举文件的时候是否使用物理磁盘分析,设置成0表示不是用物理磁盘分析,设置成1表示使用物理磁盘分析。
4、CheckInjectThread字段:决定XT启动的时候是否检测有线程注入到XT中,设置成0表示不检测,设置成1表示检测。
5、ScanSuspiciousObject字段:决定XT枚举驱动模块的时候是否扫描可疑驱动对象,设置成0表示不扫描可疑驱动对象,设置1表示扫描可疑驱动对象。
6、TitleName字段:决定XT主窗口的标题,这里可以设置成你想显示的标题,如果您注释掉本字段,XT会设置成随机窗口标题。
7、AddRegPath字段:这个字段您可以添加多个,在这里添加的注册表路径会自动添加到XT注册表部分的快捷下来框中,方便您直接定位。
更新
2013年12月10日发布V1.32版本
2012-10-22 XueTr-火眼合作版本:
1.加入了上传文件到金山火眼分析,并查看火眼分析结果的功能
2011-12-03 V0.45版本:
1.修正Win7上枚举Object Hook的时候一个潜在程序崩溃Bug(感谢曲中求等朋友的指出)
2011-11-09 V0.44版本:
1.加入导出所有日志功能(电脑体检)
2.在关于里加入了一个“爱心捐赠”信息(被某人说成行乞)
3.修正对象劫持检测部分对DR0下层设备的一个误报(感谢dl123100多次反馈,反馈了N次我都没改,不好意思)
4.修正了FC、XueTr群里以及卡饭网友反馈的一些Bug,再次表示感谢
2011-09-17 V0.43B版本:
1.修正0.43版本引入的一个可能导致少数机器死机的Bug
2011-09-12 V0.43版本:
1.修正端口枚举显示的一个Bug
2011-08-30 V0.42版本:
1.修正asm大牛反馈的一个枚举进程模块的Bug(由于更换DDK到7600版本,有个变量没及时变换导致)
2.处理了下这几天比较火的ZeroAccess Rootkit,避免XueTr被ZeroAcess恶意结束(我未分析这个病毒,感谢dl123100的分析并告知分析结果)
2011-06-25 V0.41版本:
1.新增对WinIO的检测(内核→直接IO)
2.修正一个驱动逻辑上的Bug(感谢莫灰灰同学)
2.修正一个蓝屏(感谢dl123100、jackozoo等同学的反馈)
2011-06-06 V0.40端午节版本:
1.修正Win7 SP1端口枚举的Bug
2.处理文件畸形路径(包含对./..目录以及RLO路径的处理)
3.修正NTFS流文件枚举上的Bug(请开启物理磁盘分析功能)
4.修正驱动上的Bug(感谢dl123100、KiDebug等人直接或者间接意见)
5.修改了卸载驱动时的提示,卸载驱动是很危险的,请不要轻易尝试
2011-03-02 V0.39(本版dl123100提供了很多建议,不过由于某些原因很多都没有改,在此表示歉意,最.近人懒了):
1.支持Win7 SP1,本还想支持WinPE系统,发现不好搞由于拉倒了
2.增加内核钩子扫描
3.增加Object Hook扫描
4.增加启动项枚举
2010-11-30 吾爱破解专版:
1.新增WorkerThread枚举,主要为了对付一些TDSS病毒(感谢dl123100指点思路)
2.新增一个XueTr使用帮助手册
3.修正一处LSP和安全模式修复功能的Bug
2010-10-01 0.37版本:
1.新增鼠标驱动Irp Hook检测
2.新增KeUserModeCallback函数使用的用户态_apfnDispatch函数数组Hook检测
3.新增LSP和安全模式修复功能
4.注册表部分新增查找隐藏项功能,并修正了注册表查找不好使Bug
5.修正几处Bug(感谢dl123100、JuncoJet等朋友的指出,由于在火车上无法一一列名致谢,抱歉)
2010-07-16 0.36版本:
1.增加GDT上调用门检测(内核标签的GDT项)
2.增加对TDSS病毒的DeviceObject、DriverObject对象劫持检测(内核标签的对象劫持项)
3.修复上个版本引入的一个可能导致Vista以上系统蓝屏的Bug(感谢dl123100的指出和帮助)
2010-07-07(又是一年7.7) 0.35版本:(本版本只是一个临时版本,修正上一个版本的一些Bug,有人已经在我Blog发飙了,抱歉)
1.去掉了XT启动时广为诟病的MBR检测,改到系统杂项部分自己点检测按钮检测
2.修正数字签名泄露内存Bug
3.修正Win7下禁止创建注册表键值的一个可能导致蓝屏Bug(感谢dl123100的指出和详尽分析)
4.修改了驱动通信加密算法,并用VMP加密了这部分代码,由于程序被加壳,可能导致少数AV报警
2010-05-16 0.34版本:
1.最.近MBR病毒增多,因此添加了MBR Rootkit的检查(时间有限,有些地方没处理,不过检查StonedBootkit、Mebroot、鬼影还是没问题的)
2.早段时间IME劫持病毒泛滥,因此本版本加入了对IME的枚举
4.针对流行的改IPSec和在桌面上建立无法删除IE图标的病毒,已把这两个注册表路径加入到注册表的快捷定位框(没兴趣自动过滤白名单检查,只能靠大家自己分析了)。
5.修复几处Bug
2010-04-01 0.33版本:
1.新增进程定时器和热键枚举
2.看有少数病毒修改系统防火墙规则,因此添加了对系统防火墙规则的显示
3.修正几处Bug(感谢紫色秋枫、dl123100等朋友指出)
2009-12-20 0.32版本:
1.修正一处蓝屏(感谢dl123100指出)
2.修正一处对FAT分区..目录删除的失误(其实没修正,就是屏蔽不让删除..目录了,懒惰了,不想更新了)
2009-12-13 0.31版本:(截止到这个版本,除了日志输入,我想大家在杀病毒方面需求比较多的功能都加入了,因此这个工具也就告一段落了)
1.修正几个Bug
2.新增对常用文件关联的检测
3.新弄了个配置文件(详见配置文件,也可以把这个文件删除了)
2009-11-22 0.30版本:
1.修正两处蓝屏
2.加入颜色区别(进程部分,只有下方显示模块时候才会颜色区别有模块注入的微软进程)
2009-10-08 0.29版本:
1.新增对Win7(BuildNumber 7600)的支持
2.新增禁止切换桌面功能
3.新增禁止锁定计算机功能(测试发现Hook NtUserLockWorkStation不好用,没时间搞了)
4.Notify Routine中新增BugCheckCallback显示、移除功能
5.增强了Kernel Hook的处理(少数机器上会有误报,主要是当前值全是0的项,懒得去掉了,没时间弄了)
2009-07-07(七七事变) 0.28版本:
1.新增对IE右键菜单的操作
2.新增禁止修改系统时间功能
3.Notify Routine中新增CmpCallback显示、移除功能
4.修正一处Hive解析Bug(dl123100指出)
5.修正一处启动项枚举不全Bug(dl123100指出)
2009-05-28(端午节) 0.27版本:
1.支持vista sp2和win2008 sp2
2.修正无法枚举内嵌NULL字符注册表键Bug(感谢dl123100指出)
3.修正应用程序钩子扫描中,序号导出函数序号显示错误Bug(感谢海风月影指出)
4.本版还改了两个小地方,另外也暂时实现了深山红叶建议中的2~3个,再此表示感谢!
5.修正无法强制删除exfat分区文件Bug(感谢pluto1313指出)
2009-04-27 0.26版本:
2009-04-25 0.25版本:
1.解决有少数系统上无法加载驱动Bug
2.加入强制重启
3.支持安全模式
2009-04-10 0.24版本:
1.新增DPC定时器检测
2.新增全局模块卸载功能
3.丰富一些右键菜单
4.内核模块加入“加载顺序”显示
5.增强SSDT、Shadow SSDT、FSD、IDT、ObjectType Hook函数所在模块的查找能力
6.加入一个查看重启删除功能(文件部分树形空间右键菜单)
8.修正FAT32磁盘分析的一个Bug
9.修正xp无补丁版本Shadow SSDT无法显示Bug
10.还有若干小改动,不表
2009-03-22 0.23版本:
1.消息钩子部分加入了线程Id和模块名的显示
2.端口部分对远程端口支持显示IP所在地(需要在XT所在目录下放置一个QQWry.dat文件,目.前仅仅在简体中文操作系统上有这个功能)
3.加强了文件搜索功能
4.禁止创建注册表部分加入了对ring3导入Hive改注册表的防御
5.修正了一个驱动Bug
1.XueTr界面语言开始支持繁体中文,在繁体系统自动显示繁体界面
2.文件部分增加搜索文件功能(树形空间右键菜单)
3.修正启动项userinit.exe文件厂商空白Bug(感谢qdk2000和dl123100指出)
5.修正服务中无法删除服务残留注册表信息Bug(感谢曲中求指出)
2009-03-01 0.21版本:
1.修正SPI名字少一个字母Bug(感谢dl123100指出)
2.修正检测到可疑驱动对象会显示服务名Bug(感谢dl123100和曲版指出)
3.修正数字签名把smss.exe检测为没有签名bug(感谢qdk2000指出)
4.几个窗口可以最大化了
6.修正xueTr清除ppxx回调时程序假死Bug
7.新增禁止创建注册表键(值)
8.新增删除文件时候占坑功能
9.新增查看文件锁定情况功能
2009-02-16 0.20版本:
1.支持windows 7(由于win7还处于beta阶段,我也不知道它的确切Build号,现.在默认大于6900是win7,目.前程序可以在Build:7000的系统上正常运行)
2.加入数字签名,进程部分右键菜单→查找没有数字签名的模块,会扫描系统中所有进程的模块
3.线程部分也有点改动,加了线程入口所在模块
4.防了消息钩子模块对XueTr的注入(可能会导致一些美化的系统中,XueTr的界面变丑,暂时不想处理这个问题了),另无法防止App_Inits模块的注入,这个不想加了(加这个需要大改动,以后有时间会考虑)
5.对抗伪进程Id
6.XueTr启动的时候,会检测是否有线程注入到XueTr,并给出提示
7.内核模块部分,对有对应服务的,显示的时候会显示出其服务名
8.还修改了几个Bug,不表
2009-02-05 0.19版本:
1.新支持对exFAT文件系统的解析
2.新增了结束进程时候删除进程文件
3.对一些有文件全路径的地方,增添了文件厂商属性
2009-02-02 0.18版本:(本版更新纯是为了解决系统挂机Bug而临时升级的一个版本)
1.增强了启动项检测
2.进程部分右键菜单增加了查找进程模块功能
3.解决了内核模块检测部分的误报可疑驱动对象Bug(感谢dl123100指出)
4.解决了程序非正常结束,下一次启动系统死掉Bug(感谢dl123100和angel13th指出)
2009-01-30 0.17版本:
1.增加了卸载消息钩子
2.增加了枚举窗口,和对窗口的操作
3.增加了禁止待机、注销、关机和重启功能
2009-01-26 0.16版本:
1.界面语言自适应(在中文操作系统上是中文,其它操作系统是英文)
3.加了自我保护
4.增加禁止创建进程、线程、文件以及禁止加载模块和消息钩子模块注入功能
5.改了几个界面的小问题,我的界面写作能力很菜,不表了
6.还增强了下内核模块钩子检测(还有提升空间,不想搞了)
2009-01-17 0.15版本:
1.进程部分,加入了挂起、恢复进程(线程)功能
2009-01-06 0.14版本:
1.新增ObjectType Hook检测功能(这个功能的实现参考了sudami写的文章,感激)
2.修正无法列举移动存储介质(U盘等)里的文件bug(感谢annybaby指出)
3.修正File和Rigister显示界面,当多次最小化最大化后,树形控件宽度逐渐变窄bug(感谢li58指出)
2009-01-02 0.13版本:
1.调整界面
2.新增操作IE插件、SPI、启动项、服务、映像劫持、Host文件等功能
3.修正一处filter显示bug(感谢dl123100指出)
2008-12-22 0.12版本:
1.解决在装有微点机器下全是白板的问题
2008-12-11 0.11版本:
1.修正有些机器全是白板问题
2011-12-03 0.45B版本:
加入导出所有日志
使用教程
卸载教程
由XT创作者发布,测试病毒为磁碟机
运行磁碟机病毒,1分钟后,运行XueTr,提示有线程注入到XueTr了,对这种提示您一定要小心了,您的系统可能有问题了(重点是干掉这个线程),磁碟机病毒会往每个进程里注入dnsq.dll模块,要安全卸载这个模块,初步需要注意两点:
1.这个模块是否启动线程
2.这个模块是否挂钩子
磁碟机病毒模块很明显会启动线程(暂时称为”注入“线程),你要把它结束掉,或者把这些注入的线程暂停了,由于磁碟机病毒会在自己线程被结束后,重启一个线程,因此这里选择暂停这些线程(另外一个常识就是:XueTr工具一般只有一个线程),而且你每次看线程的时候,线程状态为”正在运行“的那个线程就是XueTr的工作线程,其它的线程都可以干掉(由于我不太清楚磁碟机病毒的线程注入原理,因此对这种线程注入不知道咋防)
暂停这些线程,然后扫描XueTr的钩子(钩子→应用层钩子,我可以很自豪的说,XueTr目.前提供了比较强大的应用层钩子检测能力)
很明显磁碟机病毒挂了OpenProcess和EnumProcessModules两个函数,右键恢复它们俩,
OK,现.在您可以去安全的卸载注.入到XueTr中的dnsq.dll了
到此为止,dnsq.dll已经被安全的卸载,XueTr的各项功能不受影响。卸载其它进程里的模块,大致过程也是这样的。
另:XueTr新版已经具备一定的容错能力,您即使不恢复那两个钩子,程序也不会崩溃了,只是进程部分功能不好使。
更多使用教程请参考Xuetr使用手册
使用技巧
勾选后不用再单独打开个窗口查看模块了,选择一个进程,窗口下方马上显示模块。
喜欢破解软件的朋友,不用再为可见的窗口跟踪汇编代码了。
5、算是建议吧。内核模块最好不要动,内核模块要是不用卸载代码卸载(写内核驱动的时候,会写一段卸载函数代码),很多时候会蓝屏哦!
9、启动项标签页,最新版会显示更详尽的启动信息,包括被注释掉的启动项。
详细说出XueTr的各项右键菜单,可以比较清楚的看出XueTr对各项的操作
进程:刷新| 查看进程模块、查看进程线程、查看进程句柄、查看进程窗口、查看进程内存、查看进程定时器、查看进程热键|在下方显示模块窗口|在进程中查找模块、在进程中查找没有数字签名模块| 结束进程、强制结束进程、结束进程并删除文件、强制结束进程并删除文件|校验数字签名、校验所有数字签名| 暂停进行运行、恢复进程运行 复制进程名、复制进程路径|在线搜索进程名、在线分析|定位到进程文件、查看进程文件属性|定位到XT文件管理器| 导出
内核模块:刷新| 拷贝模块内存|删除驱动(文件)、删除驱动(文件和注册表)| 卸载驱动|校验数字签名、校验所以数字签名|仅显示已加载驱动|复制驱动名、复制驱动路径|在线搜索驱动名、在线分析|定位到驱动文件、查看驱动文件属性|定位到注册表、定位到XT文件管理器|导出
钩子:刷新|仅显示挂钩函数|定位到模块文件、查看模块属性|定位到XT文件管理器|导出
系统回调:刷新|删除|定位到XT文件管理器|导出
网络(有多个小项,第一项已有功能下面不再说):
端口:刷新|定位到XT文件管理器|导出
Tcpip:恢复、恢复所有|定位到模块文件、查看模块属性
IE插件:删除(文件)、删除(注册表和文件)|校验数字签名|复制插件名、复制插件路径|在线搜索插件名、在线分析
过滤驱动:刷新|删除|定位到XT文件管理器|导出
注册表:刷新|删除、重命名|查找、查找下一项|导出|复制项名称|新建(项、字符串值、二进制值、DWORD值、多字符串值、可扩充字符串值)|使用Hive分析
文件:刷新|查看锁定情况|删除、强制删除、删除后阻止文件再生|添加到重启删除、重启替换|重命名、拷贝|复制文件名、复制文件路径|校验数字签名|去掉只读、隐藏和系统属性|开启物理磁盘分析、关闭物理磁盘分析|搜索文件|查看文件重启删除信息
启动项:刷新|删除(启动信息)、删除(启动信息和文件)|、校验数字签名、校验所有数字签名|复制启动项名、复制启动项路径|在线搜索启动项、在线分析|定位到启动文件、查看启动文件属性|定位到注册表、定位到XT文件管理器|导出
服务:刷新|启动、停止、暂停、恢复、重新启动、删除|自动、手动、禁用|校验数字签名、校验服务动态链接库数字签名、校验所有数字签名|定位到映像文件、查看映像文件属性|定位到服务动态链接库文件、查看服务动态链接库文件属性|定位到注册表、定位到XT文件管理器(ImagePath)、定位到XT文件管理器(ServiceDLL)|导出
DPC定时器:刷新|取消|定位到文件、查看文件属性|定位到XT文件管理器导出
系统杂项:
文件关联:刷新|修复、修复所有|定位到注册表|导出
映像劫持:刷新|删除IFEO(注册表)、删除IFEO(注册表和文件)|定位到劫持文件、查看劫持路径属性|定位到注册表、定位到XT文件管理器|导出
系统防火墙规则:刷新|删除Rule(注册表)、删除Rule(注册表和文件)|定位到文件、查看文件属性|定位到注册表、定位到XT文件管理器|导出
Ime输入法:刷新|删除IME(注册表)、删除IME(注册表和文件)|定位到IME文件、查看IME路径属性|定位到注册表、IME Path到注册表|导出
从上也可以看出,XueTr的功能非常丰富,包含了很多小软件的功能,也可以更加方便地操作
问题回答
1、为什么XueTr有时候运行,全是空白?
请您确定您只开启了一份XueTr,目.前在XueTr开启一份后,再启动XueTr将会全是空白。
请您确定您是否刚才运行了XueTr的旧版本,而为未重启系统就运行了更新的版本(即新旧版本混合用情况),这个时候会出现白板,建议您重启系统运行新版,或者改名后运行新版本。
2、打开XueTr后蓝屏,我该怎么办?
为了更稳妥的使用XueTr,强烈建议您的系统打微软补丁后,要重启系统再运行XueTr,虽然XueTr提供了一些对这种情况的识别,但还是可能有疏忽的地方。如果排除打补丁导致的蓝屏后,XueTr使用过程中还蓝屏,请您把minidump发到作者邮箱供作者分析。
3、为什么64位系统无法加载驱动?
XueTr目.前只支持32位系统,不支持64位系统。
目.前已支持win7、win8 64位系统!
致谢
感谢angel13th、backway、dl123100、曲中求、tawny2008、wolfwalk888(字母序排列)卓有成效的测试(建议),十分感激,没齿难忘。
PC Hunter
Linxer大牛在XueTr源码基础上重新开发了PC Hunter,支持Win8和X64,本次更新新增了十几处检测。分为免费版和收费版。
于2013年1月24日发布1.0免费版本。
在其微博上表示是购买了微软数字签名证书,并不是之前传言的0day。
本工初步实现如下功能:
1.进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能
2.内核驱动模块查看,支持内核驱动模块的内存拷贝
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除
5.端口信息查看,目.前不支持2000系统
6.查看消息钩子
7.内核模块的iat、eat、inline hook、patches检测和恢复
8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除
9.注册表编辑
10.进程iat、eat、inline hook、patches检测和恢复
11.文件系统查看,支持基本的文件操作
12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME
13.ObjectType Hook检测和恢复
14.DPC定时器检测和删除
15.MBR Rootkit检测和修复
16.内核对象劫持检测
17.WorkerThread枚举
免费版更新列表:
1.基于XueTr源码重新开发而来,应该超越了XueTr。
参考资料
XueTr官方网站.内附下载地址.
最新修订时间:2024-07-17 11:27
目录
概述
工具概述
参考资料