淘客家

标题: 一个ARK工具XueTr.017 [打印本页]

作者: Meddy    时间: 2011-3-4 12:51
标题: 一个ARK工具XueTr.017
最近整理的一个小工具,学习window驱动的一个附属品,目前还很弱,最近没时间整了,以后有时间的话会加强,目前初步在我的
  2000 sp4, xp sp1/sp2/sp3, 2003(含sp1/sp2/r2), vista(含sp1), 2008版本Window虚拟机下运行良好。下载链接见文章末尾
  本工具目前初步实现如下功能:
  1.进程、线程、进程模块、进程窗口信息查看,杀进程、杀线程、卸载模块等功能
  2.内核驱动模块查看,支持内核驱动模块的内存拷贝
  3.SSDT、Shadow SSDT、FSD、IDT信息查看,并能检测和恢复ssdt hook和inline hook
  4.CreateProcess、CreateThread、LoadImage、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除
  5.端口信息查看,目前不支持2000系统
  6.查看消息钩子
  7.内核模块的iat、eat、inline hook、patchs检测和恢复
  8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除
  9.注册表编辑
  10.进程iat、eat、inline hook、patchs检测和恢复
  11.文件系统查看,支持基本的文件操作
  12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持
  13.ObjectType Hook检测和恢复
  免责声明:这只是一个免费的辅助小工具,如果您使用本工具,给您直接或者间接造成损失、损害,本人概不负责。从您使用本小工具的一刻起,将视为您已经接受了本免责声明。
  0.17更新说明:
  1.增加了卸载消息钩子
  2.增加了枚举窗口,和对窗口的操作
  3.增加了禁止待机、注销、关机和重启功能
  0.16更新说明:
  1.界面语言自适应(在中文操作系统上是中文,其它操作系统是英文)
  2.注册表部分引入了Hive分析,默认是不开启,如果要使用可以用”使用Hive分析”菜单,选择了这个就不会用驱动获取注册表了
  3.加了自我保护
  4.增加禁止创建进程、线程、文件以及禁止加载模块和消息钩子模块注入功能
  5.改了几个界面的小问题,我的界面写作能力很菜,不表了
  6.还增强了下内核模块钩子检测(还有提升空间,不想搞了)
  0.15更新说明:
  a.新增进线程挂起(恢复)功能
  b.文件枚举部分,加入了NTFS、FAT32、FAT16文件系统的解析功能,发现隐藏文件的能力有所加强,当然这需要时间,如果你不想打开物理磁盘分析功能,可以用Close Disk Analyst菜单关闭之
  c.本版有若干小改进,不表
  0.14更新说明:
  a.新增ObjectType Hook检测功能(这个功能的实现参考了sudami写的文章,感激)
  b.修正无法列举移动存储介质(U盘等)里的文件bug(感谢annybaby指出)
  c.修正File和Rigister显示界面,当多次最小化最大化后,树形控件宽度逐渐变窄bug(感谢li58指出)
  0.13更新说明:
  a.调整界面
  b.新增操作IE插件、SPI、启动项、服务、映像劫持、Host文件等功能
  c.修正一处filter显示bug(感谢dl123100指出)
  0.12更新说明:解决了在装有微点的机器上全是空白的情况
  0.11更新说明:解决了在某些机器上全是空白的情况





欢迎光临 淘客家 (http://www.taoke-cn.cn/) Powered by Discuz! X3.5