XueTr的功能:
1.进程、线程、进程模块、进程窗口、进程内存信息查看,热键信息查看,杀进程、杀线程、卸载模块等功能
2.内核驱动模块查看,支持内核驱动模块的内存拷贝
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、IDT信息查看,并能检测和恢复ssdt hook和inline hook
4.CreateProces、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routne的删除
5.端口信息查看,不支持2000系统
6.查看消息钩子
7.内核模的i、eat、inlnehook、patches检测和恢复
8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除
9.注册表编辑
10.进程iat、e.t、inline ok、pache检测和恢复
11.文件系统查看,支持基本的文件 *** 作
12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联
13.ObjectType Hook检测和恢复
14.DPC定时器检测和删除
15.MBR Rootkit检测和修复
16.内核对象劫持检测
17.WorkerThread枚举
SSDT的全称是System Services Descriptor Table,系统服务描述符表 一般来说此表与链接系统内核的API密切相关,对此有一项应用就是杀毒软件的主动防御,当然病毒也可以通过修改主动防御的SSDT来绕过杀软的主动防御。MS有三种方式:第一种利用执行DPC例程保护HOOK,比如每隔5ms检查一下第二种是写在cmpcallback里面,回调的时候恢复HOOK第三种是开一个内核的线程,反复检查恢复HOOK
不知道还有其他方法没
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)