中文名: 手工杀毒工具XueTr
英文名: XueTr
资源格式: 压缩包
版本: 0.33愚人节绿色版
发行时间: 2010年04月
制作发行: linxer
地区: 大陆
语言: 简体中文
简介:
软件类型:安全相关-系统安全/病毒防治
软件性质:免费软件
操作系统:windows 2000、XP(sp1/sp2/sp3)、2003(sp1/sp2/r2)、Vista(sp1/sp2)、2008(sp2)和win7
问题反馈:linxer@163.com
网站链接:http://www.xuetr.com/
免责声明:这只是一个免费的辅助小工具,如果您使用本工具,给您直接或者间接造成损失、损害,本人概不负责。从您使用本小工具的一刻起,将视为您已经接受了本免责声明。
引用
【杀毒提示】
已通过安全检测:
安全检测软件:Avira AntiVir Personal
版本号:9.0.0.11
病毒库发布时间:2010-04-29
引擎版本:8.02.01.224 (20100421)
引用
【安装/卸载】
解压双击XueTr.exe即用,删除主目录卸载
目前实现如下功能:
1.进程、线程、进程模块、进程窗口、进程内存、定时器、热键信息查看,杀进程、杀线程、卸载模块等功能
2.内核驱动模块查看,支持内核驱动模块的内存拷贝
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、IDT信息查看,并能检测和恢复ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、 Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除
5.端口信息查看,目前不支持2000系统
6.查看消息钩子
7.内核模块的iat、eat、inline hook、patches检测和恢复
8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除
9.注册表编辑
10.进程iat、eat、inline hook、patches检测和恢复
11.文件系统查看,支持基本的文件操作
12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则
13.ObjectType Hook检测和恢复
14.DPC定时器检测和删除
颜色说明:
1.驱动检测到的可疑对象,隐藏服务、进程、被挂钩函数 ----> 红色
2.文件厂商是微软的 ----> 黑色
3.文件厂商非微软的 ----> 蓝色
4.如果您效验了所有签名,对没有签名的模块行 ---> 粉红色
5.进程标签下,当下方使用模块窗口时,对文件厂商是微软的进程,会检测其所有模块,如果有模块是非微软的 ----> 土黄色
以下为软件作者linxer的说明~
引用
如果您对window系统不甚熟悉,您还是不要使用本工具,即使要使用,也不要用本工具胡乱操作。
基于以下原因,由本工具直接或者间接导致的问题,本人概不负责:
1.本人水平很菜,尤其是window内核方面,最多只能算个初学者,本工具也只是我最近学习的一个附属品
2.由于本人是window内核初学者,为了在内核写更多的代码,以提高本人水平,本人把尽量多的代码写在了内核层
3.最近比较忙,虽然本人在各系统里(2000/xp/2003/vista/2008)经过了仔细的测试,但还是难免有疏忽的地方
致谢:
感谢angel13th、backway、dl123100、曲中求、tawny2008、wolfwalk888(字母序排列)卓有成效的测试(建议),十分感激,没齿难忘。
改动说明:
2010-04-01 0.33版本:
1.新增进程定时器和热键枚举
2.看有少数病毒修改系统防火墙规则,因此添加了对系统防火墙规则的显示
3.修正几处Bug(感谢紫色秋枫、dl123100等朋友指出)
2009-12-20 0.32版本:
1.修正一处蓝屏(感谢dl123100指出)
2.修正一处对FAT分区..目录删除的失误(其实没修正,就是屏蔽不让删除..目录了,懒惰了,不想更新了)
2009-12-13 0.31版本
1.修正几个Bug
2.新增对常用文件关联的检测
3.新弄了个配置文件(详见配置文件,也可以把这个文件删除了)
2009-11-22 0.30版本:
1.修正两处蓝屏
2.加入颜色区别(进程部分,只有下方显示模块时候才会颜色区别有模块注入的微软进程)
2009-10-08 0.29版本:
1.新增对Win7(BuildNumber 7600)的支持
2.新增禁止切换桌面功能
3.新增禁止锁定计算机功能(测试发现Hook NtUserLockWorkStation不好用,没时间搞了)
4.Notify Routine中新增BugCheckCallback显示、移除功能
5.增强了Kernel Hook的处理(少数机器上会有误报,主要是当前值全是0的项,懒得去掉了,没时间弄了)
2009-07-07(七七事变) 0.28版本:
1.新增对IE右键菜单的操作
2.新增禁止修改系统时间功能
3.Notify Routine中新增CmpCallback显示、移除功能
4.修正一处Hive解析Bug(dl123100指出)
5.修正一处启动项枚举不全Bug(dl123100指出)
2009-05-28(端午节) 0.27版本:
1.支持vista sp2和win2008 sp2
2.修正无法枚举内嵌NULL字符注册表键Bug(感谢dl123100指出)
3.修正应用程序钩子扫描中,序号导出函数序号显示错误Bug(感谢海风月影指出)
4.本版还改了两个小地方,不表;另外也暂时实现了深山红叶建议中的2~3个,再此表示感谢!
5.修正无法强制删除exfat分区文件Bug(感谢pluto1313指出)
2009-04-27 0.26版本:
1.修正少数机器上提示"内存不足"Bug
2009-04-25 0.25版本:
1.解决有少数系统上无法加载驱动Bug
2.加入强制重启
3.支持安全模式
2009-04-10 0.24版本:
1.新增DPC定时器检测
2.新增全局模块卸载功能
3.丰富一些右键菜单
4.内核模块加入“加载顺序”显示
5.增强SSDT、Shadow SSDT、FSD、IDT、ObjectType Hook函数所在模块的查找能力
6.加入一个查看重启删除功能(文件部分树形空间右键菜单)
7.文件部分加入是否常规属性显示,新增"去掉系统、只读、隐藏属性"功能
8.修正FAT32磁盘分析的一个Bug
9.修正xp无补丁版本Shadow SSDT无法显示Bug
10.还有若干小改动,不表
2009-03-22 0.23版本:
1.消息钩子部分加入了线程Id和模块名的显示
2.端口部分对远程端口支持显示IP所在地(需要在XT所在目录下放置一个QQWry.dat文件,目前仅仅在简体中文操作系统上有这个功能)
3.加强了文件搜索功能
4.禁止创建注册表部分加入了对ring3导入Hive改注册表的防御
5.修正了一个驱动Bug
2009-03-15 0.22版本:(由于大家希望XueTr能有个中文名,我也不知道该叫什么,就取XT两个字母的中文发音吧"叉踢",记作“XT”)
1.XueTr界面语言开始支持繁体中文,在繁体系统自动显示繁体界面
2.文件部分增加搜索文件功能(树形空间右键菜单)
3.修正启动项userinit.exe文件厂商空白Bug(感谢qdk2000和dl123100指出)
4.修正Object钩子中"仅显示挂钩函数"功能无法正常显示Bug(感谢十二羽翼指出)
5.修正服务中无法删除服务残留注册表信息Bug(感谢曲中求指出)
2009-03-01 0.21版本:
1.修正SPI名字少一个字母Bug(感谢dl123100指出)
2.修正检测到可疑驱动对象会显示服务名Bug(感谢dl123100和曲版指出)
3.修正数字签名把smss.exe检测为没有签名bug(感谢qdk2000指出)
4.几个窗口可以最大化了
5.支持进程和dll模块分上、下两层同时显示(在进程部分右键点"在下方显示模块窗口")
6.修正xueTr清除ppxx回调时程序假死Bug
7.新增禁止创建注册表键(值)
8.新增删除文件时候占坑功能
9.新增查看文件锁定情况功能
2009-02-16 0.20版本:
1.支持windows 7(由于win7还处于beta阶段,我也不知道它的确切Build号,现在默认大于6900是win7,目前程序可以在Build:7000的系统上正常运行)
2.加入数字签名,进程部分右键菜单--->查找没有数字签名的模块,会扫描系统中所有进程的模块
3.线程部分也有点改动,加了线程入口所在模块
4.防了消息钩子模块对XueTr的注入(可能会导致一些美化的系统中,XueTr的界面变丑,暂时不想处理这个问题了),另目前无法防止App_Inits模块的注入,这个暂时不想加了(加这个需要大改动,以后有时间会考虑)
5.对抗伪进程Id
6.XueTr启动的时候,会检测是否有线程注入到XueTr,并给出提示
7.内核模块部分,对有对应服务的,显示的时候会显示出其服务名
8.还修改了几个Bug,不表
2009-02-05 0.19版本:
1.新支持对exFAT文件系统的解析
2.新增了结束进程时候删除进程文件
3.对一些有文件全路径的地方,增添了文件厂商属性
2009-02-02 0.18版本:(本版更新纯是为了解决系统挂机Bug而临时升级的一个版本)
1.增强了启动项检测
2.进程部分右键菜单增加了查找进程模块功能
3.解决了内核模块检测部分的误报可疑驱动对象Bug(感谢dl123100指出)
4.解决了程序非正常结束,下一次启动系统死掉Bug(感谢dl123100和angel13th指出)
2009-01-30 0.17版本:
1.增加了卸载消息钩子
2.增加了枚举窗口,和对窗口的操作
3.增加了禁止待机、注销、关机和重启功能
2009-01-26 0.16版本:
1.界面语言自适应(在中文操作系统上是中文,其它操作系统是英文)
2.注册表部分引入了Hive分析,默认是不开启,如果要使用可以用"使用Hive分析"菜单,选择了这个就不会用驱动获取注册表了
3.加了自我保护
4.增加禁止创建进程、线程、文件以及禁止加载模块和消息钩子模块注入功能
5.改了几个界面的小问题,我的界面写作能力很菜,不表了
6.还增强了下内核模块钩子检测(还有提升空间,不想搞了)
2009-01-17 0.15版本:
1.进程部分,加入了挂起、恢复进程(线程)功能
2.文件部分加入了NTFS、FAT32、FAT16文件磁盘解析,本功能默认开启,可以用"开启物理磁盘分析"菜单关闭
2009-01-06 0.14版本:
1.新增ObjectType Hook检测功能(这个功能的实现参考了sudami写的文章,感激)
2.修正无法列举移动存储介质(U盘等)里的文件bug(感谢annybaby指出)
3.修正File和Rigister显示界面,当多次最小化最大化后,树形控件宽度逐渐变窄bug(感谢li58指出)
2009-01-02 0.13版本:
1.调整界面
2.新增操作IE插件、SPI、启动项、服务、映像劫持、Host文件等功能
3.修正一处filter显示bug(感谢dl123100指出)
2008-12-22 0.12版本:
1.解决在装有微点机器下全是白板的问题
2008-12-11 0.11版本:
1.修正有些机器全是白板问题
