本工具目前初步实现如下功能:
1.进程、线程、进程模块、进程窗口信息查看,杀进程、杀线程、卸载模块等功能
2.内核驱动模块查看,支持内核驱动模块的内存拷贝
3.SSDT、Shadow SSDT、FSD、IDT信息查看,并能检测和恢复ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除
5.端口信息查看,目前不支持2000系统
6.查看消息钩子
7.内核模块的iat、eat、inline hook、patches检测和恢复
8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除
9.注册表编辑
10.进程iat、eat、inline hook、patches检测和恢复
11.文件系统查看,支持基本的文件操作
12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持
13.ObjectType Hook检测和恢复
14.DPC定时器检测和删除
2011-08-30 V0.42版本:
1.修正asm大牛反馈的一个枚举进程模块的Bug(由于更换DDK到7600版本,有个变量没及时变换导致)
2.处理了下这几天比较火的ZeroAccess Rootkit,避免XueTr被ZeroAcess恶意结束(我未分析这个病毒,感谢dl123100的分析并告知分析结果)
大小:3.22MB / 语言:简体中文
大小:127.35 MB / 语言:简体中文
大小:22MB / 语言:简体中文
大小:73.48MB / 语言:简体中文
大小:93 MB / 语言:简体中文
大小:837KB / 语言:简体中文
大小:45.07MB / 语言:简体中文
大小:2.24MB / 语言:简体中文
大小:71.16MB / 语言:简体中文
大小:51.39 MB / 语言:简体中文