inlinehookWsyscheck怎么用

inlinehook  时间:2021-07-14  阅读:()

什么是 xue tr?

XueTr是近年推出的一款广受好评的ARK工具。

如果您对windows系统不甚熟悉,您还是不要使用本工具,即使要使用,也不要用本工具胡乱操作。

主要功能  1.进程、线程、进程模块、进程窗口、进程内存信息查看,热键信息查看,杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看,支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、IDT信息查看,并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除 5.端口信息查看,目前不支持2000系统 6.查看消息钩子 7.内核模块的iat、eat、inline hook、patches检测和恢复 8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除 9.注册表编辑 10.进程iat、eat、inline hook、patches检测和恢复 11.文件系统查看,支持基本的文件操作 12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联 13.ObjectType Hook检测和恢复 14.DPC定时器检测和删除 15.MBR Rootkit检测和修复 16.内核对象劫持检测 17.WorkerThread枚举 配置工具:禁止创建线程、进程、文件、注册表值、加载模块、注入消息钩子、禁止待机、注销、关机、重启、修改系统时间、切换桌面、锁定计算机、重置注册表值、加载驱动 关机:强制重启/更为暴力的强制重启 其他:窗口置顶 『百度一下你就知道详细情况』

Wsyscheck怎么用

1:软件设置中的模块、服务简洁显示 简洁显示会过滤所微软文件,但在使用了“校验微软文件签名”功能后,通不过的微软文件也会显示出来。

SSDt右键“全部显示”是默认动作,当取消这个选项后,则仅显示SSDT表中已更改的项目。

2:关于Wsyscheck的颜色显示 进程页: 红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。

服务页: 红色表示该服务不是微软服务,且该服务非.sys驱动。

(最常见的是.exe与.dll的服务,木马大多使用这种方式)。

使用“检查键值”后,蓝色显示的是有键值保护的随系统启动的驱动程序。

它们有可能是杀软的自我保护,也有可能是木马的键值保护。

在取消了“模块、服务简洁显示”后,查看第三方服务可以点击标题条”文件厂商”排序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。

进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制。

在使用“软件设置”-“校验微软文件签名”后,紫红色显示未通过微软签名的文件。

同时,在各显示栏的"微软文件校验"会显示Pass与no pass。

(可以据此参考是否是假冒微软文件,注意的是如果紫红色显示过多,可能是你的系统是网上常见的Ghost精简版,这些版本可能精简掉了微软签名数据库所以结果并不可信) SSDT管理页: 默认显示全部的SSDT表,红色表示内核被HOOK的函数。

查看第三方模块,可以点击两次标签“映像路径”排序,则第三方HOOK的模块会排在一起列在最前面。

也可以取消“全部显示”,则仅显示入口改变了的函数。

SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。

如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径,而使用“恢复当前函数代码”功能只恢复Inline Hook,路径将显示为地址HOOK的模块路径,再使用“恢复当前函数地址”功能就恢复到默认的函数了。

使用“恢复所有函数”功能则同时恢复上述两种HOOK。

发现木马修改了SSDT表时请先恢复SSDT,再作注册表删除等操作。

活动文件页: 红色显示的常规启动项的内容。

3:关于Wsyscheck启动后状态栏的提示“警告!程序驱动未加载成功,一些功能无法完成。

” 多数情况下是安全软件阻止了Wsyscheck加载所需的驱动,这种情况下Wsyscheck的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。

驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能,本功能带有“直接删除”运行中的文件的功能。

VirMach(8元/月)KVM VPS,北美、欧洲

VirMach,成立于2014年的美国IDC商家,知名的低价便宜VPS销售商,支持支付宝、微信、PayPal等方式付款购买,主打美国、欧洲暑假中心产品,拥有包括洛杉矶、西雅图、圣何塞、凤凰城在内的11个数据中心可以选择,可以自由搭配1Gbps、2Gbps、10Gbps带宽端口,有Voxility DDoS高防IP可以选择(500Gbps以上的防御能力),并且支持在控制面板付费切换机房和更换IP(带...

提速啦(69元起)香港大带宽CN2+BGP独享云服务器

香港大带宽服务器香港大带宽云服务器目前市场上可以选择的商家十分少,这次给大家推荐的是我们的老便宜提速啦的香港大带宽云服务器,默认通用BGP线路(即CN2+BGP)是由三网直连线路 中国电信骨干网以及HGC、NTT、PCCW等国际线路混合而成的高品质带宽(精品带宽)线路,可有效覆盖全球200多个国家和地区。(适用于绝大部分应用场景,适合国内外访客访问,域名无需备案)提速啦官网链接:点击进入香港Cer...

萤光云(20元/月),香港CN2国庆特惠

可以看到这次国庆萤光云搞了一个不错的折扣,香港CN2产品6.5折促销,还送50的国庆红包。萤光云是2002年创立的商家,本次国庆活动主推的是香港CN2优化的机器,其另外还有国内BGP和高防服务器。本次活动力度较大,CN2优化套餐低至20/月(需买三个月,用上折扣+代金券组合),有需求的可以看看。官方网站:https://www.lightnode.cn/地区CPU内存SSDIP带宽/流量价格备注购...

inlinehook为你推荐
0x80070005计划任务时出现错误代码80070005soapui下载测试管理工具的soapUI开源测试工具showwindowShowWindow和EnableWindow区别策略组组策略是什么,命令是什么???rdlcordless phone是什么意思vipjrvipjr英语怎么样?靠谱吗?数秦科技浙江数链科技有限公司怎么样?色库photoshop7.0怎么改PANTONE色号数据分析报告范文如何做一个好的数据分析报告暴力破解密码用什么方法才能破解别人密码
河南虚拟主机 百度域名 荷兰服务器 网站实时监控 免费防火墙 中国电信测速网 免费的域名 华为云建站 华为k3 godaddy空间 ncp 架设代理服务器 paypal兑换 域名商城 泥瓦工 ddos防火墙 竞彩论坛空间 八度空间论坛 qq空间登录首页 腾讯空间登录首页 更多