xuetr是2008年推出以來的一款廣受好評的ARK工具。
基本介紹
- 外文名:xuetr
- 軟體作者:linxer
- 大小:2,177,024 位元組
- 最新版本:1.32B(1.0.3.5)
- 語言:簡體中文
- 發布日期:2011-03-07
工具概述,功能,顏色,配置檔案,更新,使用教程,
工具概述
如果您對windows系統不甚熟悉.,您還是不要使用本工具,即使要使用,也不要用本工具胡亂操作。
軟體名稱:XueTr | 類型:ARK(Anti virus&Rookit Tools ) | ||
軟體作者:linxer | 最新版本:1.32B(1.0.3.5) | ||
最.近更新日期:2013-12-10大小: 2,177,024 位元組 | |||
支持系統:2000-win8.1 32位系統,win7,win8,win8.1 64位系統 | |||
建議提供:angel13th、annybaby |
2008年12月發布於卡飯論壇
由於XueTr已經具備基本需要功能,已經減少更新次數和頻率。
注意:由於XT要深入系統底層並載入驅動,部分防毒軟體可能會報毒,如有報警請選擇放過;請不要新老版本同時使用,否則會導致使用問題,如部分功能不顯示(白板)等。
Help In English:
XueTr is a free anti-virus&rootkit utility. It offers you the ability to detect, analyze and fix various kernel structure modifications and gives you a wide scope of the kernel.With its help,you can easily spot and remove malwares hidden from normal software.
XueTr currently supports the following Windows 32-bit versions:
Windows 2000 SP4
Windows XP (no SP,SP1, SP2, SP3)
Windows Server 2003 (no SP,SP1,SP2,R2)
Windows Vista (no SP,SP1,SP2)
Windows Server 2008 (no SP,SP1)
Windows 7
協定
linxer保留所有權利。
本授權協定(以下簡稱 “本協定”)適用於linxer研發的XueTr(以下簡稱 “本軟體”)。
在您閱讀本協定後若不同意此協定中的任何條款,或對本協定存在質疑,請立刻停止使用本軟體。您一旦開始安裝或使用本軟體,則表示您已閱讀並同意本協定的所有條款之約定。協定許可範圍以外的行為,將直接違反本授權協定並構成侵權,作者有權隨時終止授權,責令停止損害,並保留追究相關責任的權力。
一、協定許可的權利
1、您可以在完全遵守本最終用戶授權協定的基礎上,將本軟體套用於非商業用途,而不必支付軟體著作權授權費用。
2、在保證本軟體完整性的前提下,您可以自由的分發、散播、使用本軟體,但必須不以盈利為目的。
3、您享有反映和提出意見的權力,相關意見將被作為首要考慮,但沒有一定被採納的承諾或保證。
二、協定規定的約束和限制
1、未獲商業授權之前,不得將本軟體用於商業用途。申請商業授權請來函至作者信箱
2、禁止對本軟體進行全部或部分地翻譯、分解、反向編譯、反彙編等反向工程。
3、不得對本軟體或與之關聯的商業授權進行出租、出售、抵押或發放子許可證。
4、禁止把本軟體用於不利於社會和諧的場合,比如破解網咖收費系統等。
三、有限擔保和免責聲明
1、本軟體及所附帶的檔案是作為不提供任何明確的或隱含的賠償或擔保的形式提供的。
2、作者不保證本軟體的所有功能都能正常工作。
3、用戶使用本軟體,必須了解使用本軟體的風險。無論遵循本協定與否,作者在任何情況下均不會因使用或不能使用本軟體而發生的任何損失(包括但不限於電腦系統損壞、文檔、數據流失、業務中斷或其他經濟損失)承擔任何直接、間接、附帶、衍生或懲罰性的賠償責任,即使已通知作者有可能發生該損失的亦是如此。
linxer 著作權所有
CopyRight 2008-2011 linxer, All Rights Reserved
使用
1.到官網指定連結下載XueTr最新版本
2.解壓檔案,閱讀使用說明
3.此工具將載入驅動XueTr.sys,不加驅動會導致大部分功能不能使用,如果有攔截請通過
4.如檢測到執行緒注入XueTr將會出現提示視窗,確定後才可以打開主界面進行操作
5.切勿隨意使用,否則可能導致系統問題
免責聲明:
基於以下原因,由本工具直接或者間接導致的問題,本人概不負責:
1.本人水平很菜,尤其是windows核心方面,最多只能算個初學者,附屬品
2.由於本人是windows核心初學者,為了在核心寫更多的代碼,以提高本人水平,本人把儘量多的代碼寫在了核心層
3.因為比較忙,雖然本人在各系統里(2000/xp/2003/vista/2008)經過了仔細的測試,但還是難免有疏忽的地方
功能
1.進程、執行緒、進程模組、進程視窗、進程記憶體信息查看,熱鍵信息查看,殺進程、殺執行緒、卸載模組等功能
2.核心驅動模組查看,支持核心驅動模組的記憶體拷貝
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、IDT信息查看,並能檢測和恢復ssdt hook和inline hook
4.CreateProces、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,並支持對這些Notify Routne的刪除
5.連線埠信息查看,不支持2000系統
6.查看訊息鉤子
7.核心模的i、eat、inlnehook、patches檢測和恢復
8.磁碟、卷、鍵盤、網路層等過濾驅動檢測,並支持刪除
9.註冊表編輯
10.進程iat、e.t、inline ok、pache檢測和恢復
11.檔案系統查看,支持基本的檔案操作
12.查看(編輯)IE外掛程式、SPI、啟動項、服務、Host檔案、映像劫持、檔案關聯
13.ObjectType Hook檢測和恢復
14.DPC定時器檢測和刪除
15.MBR Rootkit檢測和修復
16.核心對象劫持檢測
17.WorkerThread枚舉
配置工具:禁止創建執行緒、進程、檔案、註冊表值、載入模組、注入訊息鉤子、禁止待機、註銷、關機、重啟、修改系統時間、切換桌面、鎖定計算機、重置註冊表值、載入驅動
關機:強制重啟/更為暴力的強制重啟
其他:視窗置頂
顏色
1.驅動檢測到的可疑對象,隱藏服務、進程、被掛鈎函式 ----> 紅色
2.檔案廠商是微軟的 ----> 黑色
3.檔案廠商非微軟的 ----> 藍色
4.如果您效驗了所有簽名,對沒有簽名的模組行 ---> 粉紅色
5.進程標籤下,當下方使用模組視窗時,對檔案廠商是微軟的進程,會檢測其所有模組,如果有模組是非微軟的 ----> 土黃色
配置檔案
說明
XT配置檔案是從0.31版本開始引入的,它可以控制一些XT的檢測行為。這個檔案必須和XT主程式一樣的名字,且後綴名必須為.config,比如如果XT的主程式名字是XueTr.exe則配置檔案必須為XueTr.config,如果XT的主程式名為KillVirusTool.exe則配置檔案必須為KillVirusTool.config。
配置檔案採用分號做注釋,一行中分號後的內容將被XT直接忽略。
釋義:
1、SelfProtection欄位:決定是否開啟自我保護,設定成0表示關閉自我保護功能,設定成3表示開啟全部自我保護,設定成2表示只開啟視窗保護(Shadow SSDT上的保護),設定成1表示開啟SSDT上的保護。如果沒有什麼特殊要求,建議您不要開啟自我保護,尤其一些遊戲玩家。因為自我保護會Hook系統核心某些函式,一些遊戲保護軟體檢測到這些函式被Hook,會立即重啟系統......
2、StayOnTop欄位:決定XT啟動的時候是否視窗置頂,設定成0表示不置頂,設定成1表示置頂。
3、OpenPhysicalDiskAnalysis欄位:決定枚舉檔案的時候是否使用物理磁碟分析,設定成0表示不是用物理磁碟分析,設定成1表示使用物理磁碟分析。
4、CheckInjectThread欄位:決定XT啟動的時候是否檢測有執行緒注入到XT中,設定成0表示不檢測,設定成1表示檢測。
5、ScanSuspiciousObject欄位:決定XT枚舉驅動模組的時候是否掃描可疑驅動對象,設定成0表示不掃描可疑驅動對象,設定1表示掃描可疑驅動對象。
6、TitleName欄位:決定XT主視窗的標題,這裡可以設定成你想顯示的標題,如果您注釋掉本欄位,XT會設定成隨機視窗標題。
7、AddRegPath欄位:這個欄位您可以添加多個,在這裡添加的註冊表路徑會自動添加到XT註冊表部分的快捷下來框中,方便您直接定位。
更新
2013年12月10日發布V1.32版本
2012-10-22 XueTr-火眼合作版本:
1.加入了上傳檔案到金山火眼分析,並查看火眼分析結果的功能
2011-12-03 V0.45版本:
1.修正Win7上枚舉Object Hook的時候一個潛在程式崩潰Bug(感謝曲中求等朋友的指出)
2011-11-09 V0.44版本:
1.加入導出所有日誌功能(電腦體檢)
2.在關於里加入了一個“愛心捐贈”信息(被某人說成行乞)
3.修正對象劫持檢測部分對DR0下層設備的一個誤報(感謝dl123100多次反饋,反饋了N次我都沒改,不好意思)
4.修正了FC、XueTr群里以及卡飯網友反饋的一些Bug,再次表示感謝
2011-09-17 V0.43B版本:
1.修正0.43版本引入的一個可能導致少數機器當機的Bug
2011-09-12 V0.43版本:
1.修正連線埠枚舉顯示的一個Bug
2011-08-30 V0.42版本:
1.修正asm大牛反饋的一個枚舉進程模組的Bug(由於更換DDK到7600版本,有個變數沒及時變換導致)
2.處理了下這幾天比較火的ZeroAccess Rootkit,避免XueTr被ZeroAcess惡意結束(我未分析這個病毒,感謝dl123100的分析並告知分析結果)
2011-06-25 V0.41版本:
1.新增對WinIO的檢測(核心--->直接IO)
2.修正一個驅動邏輯上的Bug(感謝莫灰灰同學)
2.修正一個藍屏(感謝dl123100、jackozoo等同學的反饋)
2011-06-06 V0.40端午節版本:
1.修正Win7 SP1連線埠枚舉的Bug
2.處理檔案畸形路徑(包含對./..目錄以及RLO路徑的處理)
3.修正NTFS流檔案枚舉上的Bug(請開啟物理磁碟分析功能)
4.修正驅動上的Bug(感謝dl123100、KiDebug等人直接或者間接意見)
5.修改了卸載驅動時的提示,卸載驅動是很危險的,請不要輕易嘗試
2011-03-02 V0.39(本版dl123100提供了很多建議,不過由於某些原因很多都沒有改,在此表示歉意,最.近人懶了):
1.支持Win7 SP1,本還想支持WinPE系統,發現不好搞由於拉倒了
2.增加核心鉤子掃描
3.增加Object Hook掃描
4.增加啟動項枚舉
2010-11-30 吾愛破解專版:
1.新增WorkerThread枚舉,主要為了對付一些TDSS病毒(感謝dl123100指點思路)
2.新增一個XueTr使用幫助手冊
3.修正一處LSP和安全模式修復功能的Bug
2010-10-01 0.37版本:
1.新增滑鼠驅動Irp Hook檢測
2.新增KeUserModeCallback函式使用的用戶態_apfnDispatch函式數組Hook檢測
3.新增LSP和安全模式修復功能
4.註冊表部分新增查找隱藏項功能,並修正了註冊表查找不好使Bug
5.修正幾處Bug(感謝dl123100、JuncoJet等朋友的指出,由於在火車上無法一一列名致謝,抱歉)
2010-07-16 0.36版本:
1.增加GDT上調用門檢測(核心標籤的GDT項)
2.增加對TDSS病毒的DeviceObject、DriverObject對象劫持檢測(核心標籤的對象劫持項)
3.修復上個版本引入的一個可能導致Vista以上系統藍屏的Bug(感謝dl123100的指出和幫助)
2010-07-07(又是一年7.7) 0.35版本:(本版本只是一個臨時版本,修正上一個版本的一些Bug,有人已經在我Blog發飆了,抱歉)
1.去掉了XT啟動時廣為詬病的MBR檢測,改到系統雜項部分自己點檢測按鈕檢測
2.修正數字簽名泄露記憶體Bug
3.修正Win7下禁止創建註冊表鍵值的一個可能導致藍屏Bug(感謝dl123100的指出和詳盡分析)
4.修改了驅動通信加密算法,並用VMP加密了這部分代碼,由於程式被加殼,可能導致少數AV報警
2010-05-16 0.34版本:
1.最.近MBR病毒增多,因此添加了MBR Rootkit的檢查(時間有限,有些地方沒處理,不過檢查StonedBootkit、Mebroot、鬼影還是沒問題的)
2.早段時間IME劫持病毒泛濫,因此本版本加入了對IME的枚舉
3.Classpnp\Atapi\Acpi Irp Hook枚舉
4.針對流行的改IPSec和在桌面上建立無法刪除IE圖示的病毒,已把這兩個註冊表路徑加入到註冊表的快捷定位框(沒興趣自動過濾白名單檢查,只能靠大家自己分析了)。
5.修復幾處Bug
2010-04-01 0.33版本:
1.新增進程定時器和熱鍵枚舉
2.看有少數病毒修改系統防火牆規則,因此添加了對系統防火牆規則的顯示
3.修正幾處Bug(感謝紫色秋楓、dl123100等朋友指出)
2009-12-20 0.32版本:
1.修正一處藍屏(感謝dl123100指出)
2.修正一處對FAT分區..目錄刪除的失誤(其實沒修正,就是禁止不讓刪除..目錄了,懶惰了,不想更新了)
2009-12-13 0.31版本:(截止到這個版本,除了日誌輸入,我想大家在殺病毒方面需求比較多的功能都加入了,因此這個工具也就告一段落了)
1.修正幾個Bug
2.新增對常用檔案關聯的檢測
3.新弄了個配置檔案(詳見配置檔案,也可以把這個檔案刪除了)
2009-11-22 0.30版本:
1.修正兩處藍屏
2.加入顏色區別(進程部分,只有下方顯示模組時候才會顏色區別有模組注入的微軟進程)
2009-10-08 0.29版本:
1.新增對Win7(BuildNumber 7600)的支持
2.新增禁止切換桌面功能
3.新增禁止鎖定計算機功能(測試發現Hook NtUserLockWorkStation不好用,沒時間搞了)
4.Notify Routine中新增BugCheckCallback顯示、移除功能
5.增強了Kernel Hook的處理(少數機器上會有誤報,主要是當前值全是0的項,懶得去掉了,沒時間弄了)
2009-07-07(七七事變) 0.28版本:
1.新增對IE右鍵選單的操作
2.新增禁止修改系統時間功能
3.Notify Routine中新增CmpCallback顯示、移除功能
4.修正一處Hive解析Bug(dl123100指出)
5.修正一處啟動項枚舉不全Bug(dl123100指出)
2009-05-28(端午節) 0.27版本:
1.支持vista sp2和win2008 sp2
2.修正無法枚舉內嵌NULL字元註冊表鍵Bug(感謝dl123100指出)
3.修正應用程式鉤子掃描中,序號導出函式序號顯示錯誤Bug(感謝海風月影指出)
4.本版還改了兩個小地方,另外也暫時實現了深山紅葉建議中的2~3個,再此表示感謝!
5.修正無法強制刪除exfat分區檔案Bug(感謝pluto1313指出)
2009-04-27 0.26版本:
1.修正少數機器上提示"記憶體不足"Bug
2009-04-25 0.25版本:
1.解決有少數系統上無法載入驅動Bug
2.加入強制重啟
3.支持安全模式
2009-04-10 0.24版本:
1.新增DPC定時器檢測
2.新增全局模組卸載功能
3.豐富一些右鍵選單
4.核心模組加入“載入順序”顯示
5.增強SSDT、Shadow SSDT、FSD、IDT、ObjectType Hook函式所在模組的查找能力
6.加入一個查看重啟刪除功能(檔案部分樹形空間右鍵選單)
7.檔案部分加入是否常規屬性顯示,新增"去掉系統、唯讀、隱藏屬性"功能
8.修正FAT32磁碟分析的一個Bug
9.修正xp無補丁版本Shadow SSDT無法顯示Bug
10.還有若干小改動,不表
2009-03-22 0.23版本:
1.訊息鉤子部分加入了執行緒Id和模組名的顯示
2.連線埠部分對遠程連線埠支持顯示IP所在地(需要在XT所在目錄下放置一個QQWry.dat檔案,目.前僅僅在簡體中文作業系統上有這個功能)
3.加強了檔案搜尋功能
4.禁止創建註冊表部分加入了對ring3導入Hive改註冊表的防禦
5.修正了一個驅動Bug
2009-03-15 0.22版本:(由於大家希望XueTr能有箇中文名,我也不知道該叫什麼,就取XT兩個字母的中文發音"叉踢",記作“XT”)
1.XueTr界面語言開始支持繁體中文,在繁體系統自動顯示繁體界面
2.檔案部分增加搜尋檔案功能(樹形空間右鍵選單)
3.修正啟動項userinit.exe檔案廠商空白Bug(感謝qdk2000和dl123100指出)
4.修正Object鉤子中"僅顯示掛鈎函式"功能無法正常顯示Bug(感謝十二羽翼指出)
5.修正服務中無法刪除服務殘留註冊表信息Bug(感謝曲中求指出)
2009-03-01 0.21版本:
1.修正SPI名字少一個字母Bug(感謝dl123100指出)
2.修正檢測到可疑驅動對象會顯示服務名Bug(感謝dl123100和曲版指出)
3.修正數字簽名把smss.exe檢測為沒有簽名bug(感謝qdk2000指出)
4.幾個視窗可以最大化了
5.支持進程和dll模組分上、下兩層同時顯示(在進程部分右鍵點"在下方顯示模組視窗")
6.修正xueTr清除ppxx回調時程式假死Bug
7.新增禁止創建註冊表鍵(值)
8.新增刪除檔案時候占坑功能
9.新增查看檔案鎖定情況功能
2009-02-16 0.20版本:
1.支持windows 7(由於win7還處於beta階段,我也不知道它的確切Build號,現.在默認大於6900是win7,目.前程式可以在Build:7000的系統上正常運行)
2.加入數字簽名,進程部分右鍵選單--->查找沒有數字簽名的模組,會掃描系統中所有進程的模組
3.執行緒部分也有點改動,加了執行緒入口所在模組
4.防了訊息鉤子模組對XueTr的注入(可能會導致一些美化的系統中,XueTr的界面變醜,暫時不想處理這個問題了),另無法防止App_Inits模組的注入,這個不想加了(加這個需要大改動,以後有時間會考慮)
5.對抗偽進程Id
6.XueTr啟動的時候,會檢測是否有執行緒注入到XueTr,並給出提示
7.核心模組部分,對有對應服務的,顯示的時候會顯示出其服務名
8.還修改了幾個Bug,不表
2009-02-05 0.19版本:
1.新支持對exFAT檔案系統的解析
2.新增了結束進程時候刪除進程檔案
3.對一些有檔案全路徑的地方,增添了檔案廠商屬性
2009-02-02 0.18版本:(本版更新純是為了解決系統掛機Bug而臨時升級的一個版本)
1.增強了啟動項檢測
2.進程部分右鍵選單增加了查找進程模組功能
3.解決了核心模組檢測部分的誤報可疑驅動對象Bug(感謝dl123100指出)
4.解決了程式非正常結束,下一次啟動系統死掉Bug(感謝dl123100和angel13th指出)
2009-01-30 0.17版本:
1.增加了卸載訊息鉤子
2.增加了枚舉視窗,和對視窗的操作
3.增加了禁止待機、註銷、關機和重啟功能
2009-01-26 0.16版本:
1.界面語言自適應(在中文作業系統上是中文,其它作業系統是英文)
2.註冊表部分引入了Hive分析,默認是不開啟,如果要使用可以用"使用Hive分析"選單,選擇了這個就不會用驅動獲取註冊表了
3.加了自我保護
4.增加禁止創建進程、執行緒、檔案以及禁止載入模組和訊息鉤子模組注入功能
5.改了幾個界面的小問題,我的界面寫作能力很菜,不表了
6.還增強了下核心模組鉤子檢測(還有提升空間,不想搞了)
2009-01-17 0.15版本:
1.進程部分,加入了掛起、恢復進程(執行緒)功能
2.檔案部分加入了NTFS、FAT32、FAT16檔案磁碟解析,本功能默認開啟,可以用"開啟物理磁碟分析"選單關閉
2009-01-06 0.14版本:
1.新增ObjectType Hook檢測功能(這個功能的實現參考了sudami寫的文章,感激)
2.修正無法列舉移動存儲介質(隨身碟等)里的檔案bug(感謝annybaby指出)
3.修正File和Rigister顯示界面,當多次最小化最大化後,樹形控制項寬度逐漸變窄bug(感謝li58指出)
2009-01-02 0.13版本:
1.調整界面
2.新增操作IE外掛程式、SPI、啟動項、服務、映像劫持、Host檔案等功能
3.修正一處filter顯示bug(感謝dl123100指出)
2008-12-22 0.12版本:
1.解決在裝有微點機器下全是白板的問題
2008-12-11 0.11版本:
1.修正有些機器全是白板問題
2011-12-03 0.45B版本:
加入導出所有日誌
使用教程
卸載教程
由XT創作者發布,測試病毒為磁碟機
運行磁碟機病毒,1分鐘後,運行XueTr,提示有執行緒注入到XueTr了,對這種提示您一定要小心了,您的系統可能有問題了(重點是幹掉這個執行緒),磁碟機病毒會往每個進程里注入dnsq.dll模組,要安全卸載這個模組,初步需要注意兩點:
1.這個模組是否啟動執行緒
2.這個模組是否掛鈎子
磁碟機病毒模組很明顯會啟動執行緒(暫時稱為”注入“執行緒),你要把它結束掉,或者把這些注入的執行緒暫停了,由於磁碟機病毒會在自己執行緒被結束後,重啟一個執行緒,因此這裡選擇暫停這些執行緒,下圖顯示了所有注入的XueTr的執行緒(另外一個常識就是:XueTr工具一般只有一個執行緒,而且你每次看執行緒的時候,執行緒狀態為”正在運行“的那個執行緒就是XueTr的工作執行緒,其它的執行緒都可以幹掉(由於我不太清楚磁碟機病毒的執行緒注入原理,因此對這種執行緒注入不知道咋防)
暫停這些執行緒,然後掃描XueTr的鉤子(鉤子---->套用層鉤子,我可以很自豪的說,XueTr目.前提供了比較強大的套用層鉤子檢測能力)
很明顯磁碟機病毒掛了OpenProcess和EnumProcessModules兩個函式,右鍵恢復它們倆,
OK,現.在您可以去安全的卸載注.入到XueTr中的dnsq.dll了
到此為止,dnsq.dll已經被安全的卸載,XueTr的各項功能不受影響。卸載其它進程里的模組,大致過程也是這樣的。
另:XueTr新版已經具備一定的容錯能力,您即使不恢復那兩個鉤子,程式也不會崩潰了,只是進程部分功能不好使。
更多使用教程請參考Xuetr使用手冊
使用技巧
1、進程標籤頁,右鍵,選單中有個"在下方顯示模組視窗"。
勾選後不用再單獨打開個視窗查看模組了,選擇一個進程,視窗下方馬上顯示模組。
2、右鍵進程,有個"查看句"柄選項,可按句柄來操作進程相關資源。
3、右鍵進程,有個"查看...",裡邊有個"進程視窗",再右鍵狀態為"可見"的選項,選擇"顯示視窗",就能看到對應的視窗頁面。
喜歡破解軟體的朋友,不用再為可見的視窗跟蹤彙編代碼了。
4、右鍵進程,有兩個選項,一個是"線上搜尋進程名",點進去之後,會直接在Google進行搜尋。還有一個是"線上分析",很好的功能,點進去之後,會到virscan查毒網站,提交檔案,網站會提供36種防毒軟體為你查毒。
5、算是建議吧。核心模組最好不要動,核心模組要是不用卸載代碼卸載(寫核心驅動的時候,會寫一段卸載函式代碼),很多時候會藍屏喔!
6、標籤"網路" - "IE外掛程式" And "IE右鍵選單",系統最佳化的時候常常能用到。
7、標籤"註冊表",最下方提供了常用的註冊表地址,不用再一個一個標籤去點開了,很多都在裡面了。
8、標籤"檔案",強制刪除的功能估計用過的人都見識過了,驅動級的刪除很牛很強大。還有一個功能是"查看鎖定情況",通過這個功能就能知道,這個資料夾有幾個進程涉及到了,不錯吧。
9、啟動項標籤頁,最新版會顯示更詳盡的啟動信息,包括被注釋掉的啟動項。
10、系統雜項,"檔案關聯",可以通過右鍵修復系統默認的關聯。
11、系統雜項,"映像劫持"功能。
以前到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 才能分析的內容,現.在直接就提供了劫持分析功能。
12、還有一個很好的,"系統防火牆規則"。剛裝完系統,比方說用個QQ什麼的,防火牆肯定會蹦出來,這個標籤頁能讓你看到防火牆的狀態,用於方便修改防火牆規則。
13、"雜項",一看就能明白,提供了很多解鎖功能。MBR檢測功能也移到這裡來了。
14、標籤"本工具配置",增加了"視窗置頂"選項,哈哈。估計作者也體驗過防毒的時候不能激活頁面的痛苦。
15、最後,"本工具配置"裡面的禁止功能非常強大,強大到連繫統也得聽他的。不小心殺掉系統重要進程會出現倒計時重啟頁面,別著急,直接把這個標籤頁的“禁止待機、註銷、關機、重啟“選項選中,系統就無法重啟了。
詳細說出XueTr的各項右鍵選單,可以比較清楚的看出XueTr對各項的操作
進程:刷新| 查看進程模組、查看進程執行緒、查看進程句柄、查看進程視窗、查看進程記憶體、查看進程定時器、查看進程熱鍵|在下方顯示模組視窗|在進程中查找模組、在進程中查找沒有數字簽名模組| 結束進程、強制結束進程、結束進程並刪除檔案、強制結束進程並刪除檔案|校驗數字簽名、校驗所有數字簽名| 暫停進行運行、恢復進程運行 複製進程名、複製進程路徑|線上搜尋進程名、線上分析|定位到進程檔案、查看進程檔案屬性|定位到XT檔案管理器| 導出
核心模組:刷新| 拷貝模組記憶體|刪除驅動(檔案)、刪除驅動(檔案和註冊表)| 卸載驅動|校驗數字簽名、校驗所以數字簽名|僅顯示已載入驅動|複製驅動名、複製驅動路徑|線上搜尋驅動名、線上分析|定位到驅動檔案、查看驅動檔案屬性|定位到註冊表、定位到XT檔案管理器|導出
鉤子:刷新|僅顯示掛鈎函式|定位到模組檔案、查看模組屬性|定位到XT檔案管理器|導出
系統回調:刷新|刪除|定位到XT檔案管理器|導出
網路(有多個小項,第一項已有功能下面不再說):
連線埠:刷新|定位到XT檔案管理器|導出
Tcpip:恢復、恢復所有|定位到模組檔案、查看模組屬性
IE外掛程式:刪除(檔案)、刪除(註冊表和檔案)|校驗數字簽名|複製外掛程式名、複製外掛程式路徑|線上搜尋外掛程式名、線上分析
過濾驅動:刷新|刪除|定位到XT檔案管理器|導出
註冊表:刷新|刪除、重命名|查找、查找下一項|導出|複製項名稱|新建(項、字元串值、二進制值、DWORD值、多字元串值、可擴充字元串值)|使用Hive分析
檔案:刷新|查看鎖定情況|刪除、強制刪除、刪除後阻止檔案再生|添加到重啟刪除、重啟替換|重命名、拷貝|複製檔案名稱、複製檔案路徑|校驗數字簽名|去掉唯讀、隱藏和系統屬性|開啟物理磁碟分析、關閉物理磁碟分析|搜尋檔案|查看檔案重啟刪除信息
啟動項:刷新|刪除(啟動信息)、刪除(啟動信息和檔案)|、校驗數字簽名、校驗所有數字簽名|複製啟動項名、複製啟動項路徑|線上搜尋啟動項、線上分析|定位到啟動檔案、查看啟動檔案屬性|定位到註冊表、定位到XT檔案管理器|導出
服務:刷新|啟動、停止、暫停、恢復、重新啟動、刪除|自動、手動、禁用|校驗數字簽名、校驗服務動態程式庫數字簽名、校驗所有數字簽名|定位到映像檔案、查看映像檔案屬性|定位到服務動態程式庫檔案、查看服務動態程式庫檔案屬性|定位到註冊表、定位到XT檔案管理器(ImagePath)、定位到XT檔案管理器(ServiceDLL)|導出
DPC定時器:刷新|取消|定位到檔案、查看檔案屬性|定位到XT檔案管理器導出
系統雜項:
檔案關聯:刷新|修復、修復所有|定位到註冊表|導出
映像劫持:刷新|刪除IFEO(註冊表)、刪除IFEO(註冊表和檔案)|定位到劫持檔案、查看劫持路徑屬性|定位到註冊表、定位到XT檔案管理器|導出
系統防火牆規則:刷新|刪除Rule(註冊表)、刪除Rule(註冊表和檔案)|定位到檔案、查看檔案屬性|定位到註冊表、定位到XT檔案管理器|導出
Ime輸入法:刷新|刪除IME(註冊表)、刪除IME(註冊表和檔案)|定位到IME檔案、查看IME路徑屬性|定位到註冊表、IME Path到註冊表|導出
從上也可以看出,XueTr的功能非常豐富,包含了很多小軟體的功能,也可以更加方便地操作
問題回答
1、為什麼XueTr有時候運行,全是空白?
請您確定您只開啟了一份XueTr,目.前在XueTr開啟一份後,再啟動XueTr將會全是空白。
請您確定您是否剛才運行了XueTr的舊版本,而為未重啟系統就運行了更新的版本(即新舊版本混合用情況),這個時候會出現白板,建議您重啟系統運行新版,或者改名後運行新版本。
2、打開XueTr後藍屏,我該怎么辦?
為了更穩妥的使用XueTr,強烈建議您的系統打微軟補丁後,要重啟系統再運行XueTr,雖然XueTr提供了一些對這種情況的識別,但還是可能有疏忽的地方。如果排除打補丁導致的藍屏後,XueTr使用過程中還藍屏,請您把minidump發到作者信箱供作者分析。
3、為什麼64位系統無法載入驅動?
XueTr目.前只支持32位系統,不支持64位系統。
目.前已支持win7、win8 64位系統!
致謝
感謝angel13th、backway、dl123100、曲中求、tawny2008、wolfwalk888(字母序排列)卓有成效的測試(建議),十分感激,沒齒難忘。
PC Hunter
Linxer大牛在XueTr源碼基礎上重新開發了PC Hunter,支持Win8和X64,本次更新新增了十幾處檢測。分為免費版和收費版。
於2013年1月24日發布1.0免費版本。
在其微博上表示是購買了微軟數字簽名證書,並不是之前傳言的0day。
本工初步實現如下功能:
1.進程、執行緒、進程模組、進程視窗、進程記憶體信息查看,殺進程、殺執行緒、卸載模組等功能
2.核心驅動模組查看,支持核心驅動模組的記憶體拷貝
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,並能檢測和恢復ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,並支持對這些Notify Routine的刪除
5.連線埠信息查看,目.前不支持2000系統
6.查看訊息鉤子
7.核心模組的iat、eat、inline hook、patches檢測和恢復
8.磁碟、卷、鍵盤、網路層等過濾驅動檢測,並支持刪除
9.註冊表編輯
10.進程iat、eat、inline hook、patches檢測和恢復
11.檔案系統查看,支持基本的檔案操作
12.查看(編輯)IE外掛程式、SPI、啟動項、服務、Host檔案、映像劫持、檔案關聯、系統防火牆規則、IME
13.ObjectType Hook檢測和恢復
14.DPC定時器檢測和刪除
15.MBR Rootkit檢測和修復
16.核心對象劫持檢測
17.WorkerThread枚舉
1.進程、執行緒、進程模組、進程視窗、進程記憶體信息查看,殺進程、殺執行緒、卸載模組等功能
2.核心驅動模組查看,支持核心驅動模組的記憶體拷貝
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,並能檢測和恢復ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,並支持對這些Notify Routine的刪除
5.連線埠信息查看,目.前不支持2000系統
6.查看訊息鉤子
7.核心模組的iat、eat、inline hook、patches檢測和恢復
8.磁碟、卷、鍵盤、網路層等過濾驅動檢測,並支持刪除
9.註冊表編輯
10.進程iat、eat、inline hook、patches檢測和恢復
11.檔案系統查看,支持基本的檔案操作
12.查看(編輯)IE外掛程式、SPI、啟動項、服務、Host檔案、映像劫持、檔案關聯、系統防火牆規則、IME
13.ObjectType Hook檢測和恢復
14.DPC定時器檢測和刪除
15.MBR Rootkit檢測和修復
16.核心對象劫持檢測
17.WorkerThread枚舉
免費版更新列表:
1.基於XueTr源碼重新開發而來,應該超越了XueTr。