冰刃初步使用图解(Win7 64位)

最新推荐文章于 2021-11-30 10:35:26 发布
最新推荐文章于 2021-11-30 10:35:26 发布
阅读量1w 收藏 1
点赞数
分类专栏: 安全编程 文章标签: 内核 钩子 EPROCESS Driver Entry 冰刃
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bcbobo21cn/article/details/51178649
版权

1 运行

运行,原来是胡哥所作;胡哥真是棒;

2 查看进程;多了EPROCESS列

每个进程都有一个 EPROCESS 结构,里面保存着进程的各种信息,和相关结构的指针。EPROCESS 结构位于系统地址空间,所以访问这个结构需要有ring0的权限。使用 Win2k DDK 的 KD (内核调试器)我们可以得到 EPROCESS 结构的定义。

3 查看驱动

可看到每个驱动的驱动入口和驱动对象的地址;有一个 Service 列,有的行有值,有的无值;
莫非有值的驱动是用服务加载的?
CreateService加载驱动过程
用CreateService()函数
1,先是它向Service进程注册服务。
2,然后Service进程调用ZwLoadDriver()加载驱动。

4 查看网络

首先是端口情况;
看到有两个专门针对IE的操作;
SPI是何物;是这个吗?
SPI是串行外设接口(Serial Peripheral Interface)的缩写。SPI,是一种高速的,全双工,同步的通信总线;
WFP:
微软在VISTA以后,使用了WFP平台来代替之前XP和03中的基于包过滤的技术,比如Transport Driver Interface(TDI)过滤,Network Driver Interface Specification(NDIS)过滤,Winsock layered Service Providers(LSP).WFP是一组API和系统服务,它给网络过滤的应用提供了一种平台。WFP的这些API
可以在操作系统网络堆栈的不同层次进行包的处理,在数据到达目的地之前,进行过滤或者修改。

 

5 查看钩子

可看到各种类型的钩子
SSDT和Shadow SSDT:
SSDT:主要处理 Kernel32.dll中的系统调用,如openProcess,ReadFile等,主要在ntoskrnl.exe中实现(微软有给出 ntoskrnl源代码)
ShadowSSDT: 主要处理,user32.dll,GDI32.dll中调用的函数,如postMessage,SendMessage,FindWindow,主要在win32k.sys中实现.(微软未给出win32k代码)
导入地址表钩子(import Address table hooking)。
当应用程序使用另一个库中的函数时,必须导入该函数的地址。都是通过IAT来实现的。
应用程序文件系统映像的IMAGE_IMPORT_DESCRIPTOR结构,它包含导入函数的DLL名称,和两个IMAGE_IMPROT_BY_NAME数组指针,它包含了导入函数的名称。这种方式对于显示调用DLL无效。
内联函数钩子
在实现内联函数钩子时,实际上是重写目标函数的代码字节, 所以无论目标进程如何或何时解析函数地址,都能够勾住函数。
看下消息钩子栏,大部分是360干的;360chrome.exe这个是什么,应该是我用的360极速浏览器;

 

6 查看内核

可看到MBR信息;

什么是MBR,见;

http://blog.csdn.net/bcbobo21cn/article/details/51171472

看下过滤驱动;

过滤是在不影响上层和下层接口的情况下,在Windows系统内核中加入新的层,从而不需要修改上层的软件或者下层的真实驱动程序,就加入了新的功能。  

为什么有这么多过滤驱动;多数是微软自己干的;谁能解释下?

7 启动项

8 系统设置界面

系统设置,软件设置,程序员选项,进程和线程的杀死方式设置等;
forbid是禁止的意思;系统设置里可以禁止很多事情;

 

64位win7 冰刃下载:文件名是Win64AST_1.10_PortableSoft

http://pan.baidu.com/s/1skZx4TZ

 

bcbobo21cn
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
_SYSTEM_PROCESS 32位与64位的结构
iceamber2012的专栏
04-25 1548
typedef struct _SYSTEM_PROCESSES_X86  {    ULONG NextEntryDelta;    ULONG ThreadCount;    ULONG Reserved1[6];    LARGE_INTEGER CreateTime;    LARGE_INTEGER UserTime;    LARGE_INTEGER Ker
冰刃 进程管理工具 非常强悍
03-09
冰刃 的用途我就不用讲了! 很不错的安全工具! 可以结束几乎所有进程
win7 冰刃 工具
10-10
冰刃IceSword适用于Windows 2000/XP/2003 操作系统,其内部功能是十分强大, 用于查探系统中的幕后黑手—木马后门,并作出处理。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强, 一般都可轻而易举地隐藏进程、端口、注册表、文件信息, 一般的工具根本无法发现这些 "幕后黑手" 。IceSword 使用了大量新颖的内核技术, 使得这些后门躲无所躲。
64位简体中文冰刃IceSword
03-05
64位简体中文冰刃IceSword
XueTr(win7冰刃)
08-12
XueTr与著名的冰刃(IceSword)不相上下,XueTr能够具备冰刃的注册表管理功能,即完全显现隐藏的注册表键值、获取任意注册表键值的最高权限等;另XueTr删除文件的功能已经超越了冰刃,并且有Unlocker所不具备的解锁隐藏文件能力,而在杀进程方面,XueTr与冰刃是一样的强大,但是操作更为友好和安全些。 XueTr功能如下: 1.进程、线程、进程模块、进程窗口、进程内存、定时器、热键信息查看,杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看,支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、IDT信息查看,并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除 5.端口信息查看,目前不支持2000系统 6.查看消息钩子 7.XueTr内核模块的iat、eat、inline hook、patches检测和恢复 8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除 9.注册表编辑 10.进程iat、eat、inline hook、patches检测和恢复 11.文件系统查看,支持基本的文件操作 12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则 13.ObjectType Hook检测和恢复 14.DPC定时器检测和删除
PCHunter_free类拟冰刃win64位
03-30
PCHunter free是一款安全类的系统信息查看软件,在它的帮助下您不但可以深入的查看系统各类信息,还可以很方便的揪出电脑中的病毒木马,目前它不仅适用于32位的2000、XP、2003、Vista、2008、Win7和Win8操作系统,还适用于64位的Win7和Win8操作系统。 支持查看信息: 进程、驱动模块、内核、内核钩子、应用层钩子、网络、注册表、文件、启动信息、系统杂项、电脑体检、配置 使用说明: 如果您对window系统不太熟悉,请不要使用本软件胡乱操作。 基于以下原因,由本软件直接或者间接导致的问题,本公司概不负责: 1.由于本工具大量使用Windows内核技术,尤其是为了做一些检测而使用了些Windows未公开的内核数据结构,虽然我们一直尽力避免或减小这给本软件可能带来的稳定性上的影响,但我们无法保证这对本软件稳定性绝对没有影响。 2.在本软件完工后,我们做了大量的稳定性、兼容性的测试,但还是难免有疏忽的地方。 更新日志: 1、修正 32 位 Win8.1 打了 2014 年 10 月份补丁后无法加载驱动的问题 2、增加 x64 上的“禁止创建进程/禁止创建线程/禁止创建文件/禁止创建注册表键(值)”功能 3、修改几个 Bug 功能介绍: PC Hunter 大量使用Windows 内核技术,尤其是为了做一些检测而使用了些 Windows 未公开的内核数据结构,目前初步实现如下功能: 1.进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看,支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复 ssdt hook 和 inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego 等 Notify Routine 信息查看,并支持对这些 Notify Routine 的删除 5.端口信息查看,目前不支持2000系统 6.查看消息钩子
XueTr一个非常强大的系统辅助工具,类似于冰刃
03-29
XueTr,一个非常强大的系统辅助工具,类似于冰刃
冰刃(增强版).rar
12-29
冰刃(增强版).rar 分析系统模块,防止病毒木马
XueTr 能在Win7下用的冰刃类软件
11-16
总的来说,XueTr作为一款Win7环境下的冰刃类软件,不仅具备了强大的系统分析能力,还在易用性和实用性上做出了很好的平衡。无论是日常的系统维护,还是面对复杂的病毒查杀,XueTr都能提供有力的支持,确保用户的...
安全相关-病毒防治-冰刃icesword win7 v1.zip
08-12
解压下载的zip压缩包后,找到“冰刃icesword win7 v1.22”文件夹,双击运行“icesword.exe”启动程序。 **二、主要功能** 1. **进程管理**:冰刃icesword提供详细的进程列表,包括隐藏的进程,用户可以查看每个...
进程结构体EPROCESS
maomao171314的专栏
02-01 2086
1、进程结构体EPROCESS 每个windows进程在0环都有一个对应的结构体:EPROCESS 这个结构体包含了进程所有重要的信息。 kd> dt _EPROCESS +0x000 Pcb : _KPROCESS +0x078 ProcessLock : _EX_PUSH_LOCK +0x080 CreateTime : _LARGE_INTEGER +0x088 ExitTime : _LARG...
Win64AST正式版1.10中文免费绿色版支持64位Windows的ARK内核级高级系统
08-08
Rootkit 通常是指加载到操作系统内核中的恶意软件,因为其代码运行在特权模式之下,极具危险性。有 Rootkit,就需要 Anti Rootkit,用到的就是 ARK 工具。 针对32位的 Windows XP 或 Windows 7 系统,已经有很多成熟的工具了,比如冰刃、早期的冰刃 (IceSword)、Wsyscheck、到后来的狙剑 (SnipeSword)、XueTr,还有最近很给力
IceSword(著名的冰刀软件)
10-15
很多用处,平时删除不掉的文件,用这个可以强制删除;可以查看操作系统内核文件有没有被改动;可以改注册表;可以查看消息钩子等等。
通过遍历系统句柄信息(SystemHandleInformation),获取系统进程和当前进程的eprocess
热门推荐
pureman_mega的博客
11-23 1万+
实验环境:win10 1909 64 参考:https://blog.csdn.net/qinlicang/article/details/4489727 首先,获取系统的句柄信息;然后,在句柄信息表中进行搜索,通过数据结构进行匹配;最后,确定系统进程和当前进程的eprocess; 主要数据结构如下: typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO { USHORT UniqueProcessId; USHORT CreatorBack
进程线程001 进程线程结构体和KPCR
鬼手的博客
12-26 1113
文章目录前言EPROCESSKPROCESS主要成员EPROCESS其他成员ETHREADKTHREAD主要成员介绍ETHREAD其他成员介绍KPCRKPCR介绍_NT_TIB主要成员介绍KPCR的其他成员介绍KPRCB成员介绍KPRCB成员介绍 前言 进程线程的知识点很多,如果我们想了解问题的本质,就要从一些关键的结构体学起,先来介绍一个与进程密切相关的结构体 EPROCESS 每个进程在零环都...
Win10下的_EPROCESS结构记录
WorryFree
11-30 2171
kd> dt _EPROCESS ntdll!_EPROCESS +0x000 Pcb : _KPROCESS 内嵌的内核层进程结构体 +0x2e0 ProcessLock : _EX_PUSH_LOCK 自旋锁 用于保护EPROCESS数据成员的同步 +0x2e8 UniqueProcessId : Ptr64 Void 进程的唯一PID +0x2f0 ActiveProcessLinks :
EPROCESS 遍历进程 隐藏 保护
Mikasys的博客
10-20 823
0: kd> dt _KPROCESS nt!_KPROCESS +0x000 Header : _DISPATCHER_HEADER //dt _KEVENT +0x018 ProfileListHead : _LIST_ENTRY //任务管理器上的性能 +0x028 DirectoryTableBase : Uint8B //cr3 +0x030 ThreadListHead : _LIST_ENTRY //当前进程所有线程
获得进程的EPROCESS
Kendiv's Box
01-31 5528
获得进程的EPROCESS发布日期:2004-06-02文摘内容: 文摘出处:http://www.xfocus.net/articles/200406/706.html创建时间:2004-06-01文章属性:原创文章提交:MustBE (zf35_at_citiz.net)By [I.T.S]SystEm32Welcome to our web site http://itaq.ynpc
基于进程 EPROCESS - ActiveProcessLists 枚举进程,并通过摘链隐藏进程
LYSM
06-24 740
实现原理 进程 EPROCESS 结构存储着进程一切信息,所以这个结构体很庞大,而且,不同系统, EPROCESS 结构定义也不相同,它里面的一些成员的偏移也不是固定一成不变的。 可使用函数 PsGetCurrentProcess 获取当前进程结构 EPROCESS; PsGetProcessId 从 EPROCESS 结构中获取进程的 PID 信息;使用 PsGetProcessImageFileName 函数,从 ERPROCESS 结构中获取进程的名称信息。 其中,EPROCESS 结构中的成员 Ac

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值