一个 ARK工具: XueTr.017

    [晴 January 31, 2009 20:56 | by !4p47hy ]
作者:linxer

最近整理的一个小工具,学习window驱动的一个附属品,目前还很弱,最近没时间整了,以后有时间的话会加强,目前初步在我的
2000 sp4, xp sp1/sp2/sp3, 2003(含sp1/sp2/r2), vista(含sp1), 2008版本Window虚拟机下运行良好。下载链接见文章末尾

本工具目前初步实现如下功能:

1.进程、线程、进程模块、进程窗口信息查看,杀进程、杀线程、卸载模块等功能
2.内核驱动模块查看,支持内核驱动模块的内存拷贝
3.SSDT、Shadow SSDT、FSD、IDT信息查看,并能检测和恢复ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除
5.端口信息查看,目前不支持2000系统
6.查看消息钩子
7.内核模块的iat、eat、inline hook、patchs检测和恢复
8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除
9.注册表编辑
10.进程iat、eat、inline hook、patchs检测和恢复
11.文件系统查看,支持基本的文件操作
12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持
13.ObjectType Hook检测和恢复

免责声明:这只是一个免费的辅助小工具,如果您使用本工具,给您直接或者间接造成损失、损害,本人概不负责。从您使用本小工具的一刻起,将视为您已经接受了本免责声明。

0.17更新说明:

1.增加了卸载消息钩子
2.增加了枚举窗口,和对窗口的操作
3.增加了禁止待机、注销、关机和重启功能

0.16更新说明:

1.界面语言自适应(在中文操作系统上是中文,其它操作系统是英文)
2.注册表部分引入了Hive分析,默认是不开启,如果要使用可以用”使用Hive分析”菜单,选择了这个就不会用驱动获取注册表了
3.加了自我保护
4.增加禁止创建进程、线程、文件以及禁止加载模块和消息钩子模块注入功能
5.改了几个界面的小问题,我的界面写作能力很菜,不表了
6.还增强了下内核模块钩子检测(还有提升空间,不想搞了)

0.15更新说明:

a.新增进线程挂起(恢复)功能
b.文件枚举部分,加入了NTFS、FAT32、FAT16文件系统的解析功能,发现隐藏文件的能力有所加强,当然这需要时间,如果你不想打开物理磁盘分析功能,可以用Close Disk Analyst菜单关闭之
c.本版有若干小改进,不表

0.14更新说明:

a.新增ObjectType Hook检测功能(这个功能的实现参考了sudami写的文章,感激)
b.修正无法列举移动存储介质(U盘等)里的文件bug(感谢annybaby指出)
c.修正File和Rigister显示界面,当多次最小化最大化后,树形控件宽度逐渐变窄bug(感谢li58指出)

0.13更新说明:

a.调整界面
b.新增操作IE插件、SPI、启动项、服务、映像劫持、Host文件等功能
c.修正一处filter显示bug(感谢dl123100指出)

0.12更新说明:解决了在装有微点的机器上全是空白的情况

0.11更新说明:解决了在某些机器上全是空白的情况

Highslide JS


Download ( 827 downloads)
Tools | Comments(0) | Trackbacks(0) | Reads(15728)
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive