冰刃初步使用图解(Win7 64位)

1 运行

运行,原来是胡哥所作;胡哥真是棒;

2 查看进程;多了EPROCESS列

每个进程都有一个 EPROCESS 结构,里面保存着进程的各种信息,和相关结构的指针。EPROCESS 结构位于系统地址空间,所以访问这个结构需要有ring0的权限。使用 Win2k DDK 的 KD (内核调试器)我们可以得到 EPROCESS 结构的定义。

3 查看驱动

可看到每个驱动的驱动入口和驱动对象的地址;有一个 Service 列,有的行有值,有的无值;
莫非有值的驱动是用服务加载的?
CreateService加载驱动过程
用CreateService()函数
1,先是它向Service进程注册服务。
2,然后Service进程调用ZwLoadDriver()加载驱动。

4 查看网络

首先是端口情况;
看到有两个专门针对IE的操作;
SPI是何物;是这个吗?
SPI是串行外设接口(Serial Peripheral Interface)的缩写。SPI,是一种高速的,全双工,同步的通信总线;
WFP:
微软在VISTA以后,使用了WFP平台来代替之前XP和03中的基于包过滤的技术,比如Transport Driver Interface(TDI)过滤,Network Driver Interface Specification(NDIS)过滤,Winsock layered Service Providers(LSP).WFP是一组API和系统服务,它给网络过滤的应用提供了一种平台。WFP的这些API
可以在操作系统网络堆栈的不同层次进行包的处理,在数据到达目的地之前,进行过滤或者修改。

 

5 查看钩子

可看到各种类型的钩子
SSDT和Shadow SSDT:
SSDT:主要处理 Kernel32.dll中的系统调用,如openProcess,ReadFile等,主要在ntoskrnl.exe中实现(微软有给出 ntoskrnl源代码)
ShadowSSDT: 主要处理,user32.dll,GDI32.dll中调用的函数,如postMessage,SendMessage,FindWindow,主要在win32k.sys中实现.(微软未给出win32k代码)
导入地址表钩子(import Address table hooking)。
当应用程序使用另一个库中的函数时,必须导入该函数的地址。都是通过IAT来实现的。
应用程序文件系统映像的IMAGE_IMPORT_DESCRIPTOR结构,它包含导入函数的DLL名称,和两个IMAGE_IMPROT_BY_NAME数组指针,它包含了导入函数的名称。这种方式对于显示调用DLL无效。
内联函数钩子
在实现内联函数钩子时,实际上是重写目标函数的代码字节, 所以无论目标进程如何或何时解析函数地址,都能够勾住函数。
看下消息钩子栏,大部分是360干的;360chrome.exe这个是什么,应该是我用的360极速浏览器;

 

6 查看内核

可看到MBR信息;

什么是MBR,见;

http://blog.csdn.net/bcbobo21cn/article/details/51171472

看下过滤驱动;

过滤是在不影响上层和下层接口的情况下,在Windows系统内核中加入新的层,从而不需要修改上层的软件或者下层的真实驱动程序,就加入了新的功能。  

为什么有这么多过滤驱动;多数是微软自己干的;谁能解释下?

7 启动项

8 系统设置界面

系统设置,软件设置,程序员选项,进程和线程的杀死方式设置等;
forbid是禁止的意思;系统设置里可以禁止很多事情;

 

64位win7 冰刃下载:文件名是Win64AST_1.10_PortableSoft

http://pan.baidu.com/s/1skZx4TZ

 

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PCHunter free是一款安全类的系统信息查看软件,在它的帮助下您不但可以深入的查看系统各类信息,还可以很方便的揪出电脑中的病毒木马,目前它不仅适用于32位的2000、XP、2003、Vista、2008、Win7和Win8操作系统,还适用于64位Win7和Win8操作系统。 支持查看信息: 进程、驱动模块、内核内核钩子、应用层钩子、网络、注册表、文件、启动信息、系统杂项、电脑体检、配置 使用说明: 如果您对window系统不太熟悉,请不要使用本软件胡乱操作。 基于以下原因,由本软件直接或者间接导致的问题,本公司概不负责: 1.由于本工具大量使用Windows内核技术,尤其是为了做一些检测而使用了些Windows未公开的内核数据结构,虽然我们一直尽力避免或减小这给本软件可能带来的稳定性上的影响,但我们无法保证这对本软件稳定性绝对没有影响。 2.在本软件完工后,我们做了大量的稳定性、兼容性的测试,但还是难免有疏忽的地方。 更新日志: 1、修正 32 位 Win8.1 打了 2014 年 10 月份补丁后无法加载驱动的问题 2、增加 x64 上的“禁止创建进程/禁止创建线程/禁止创建文件/禁止创建注册表键(值)”功能 3、修改几个 Bug 功能介绍: PC Hunter 大量使用了 Windows 内核技术,尤其是为了做一些检测而使用了些 Windows 未公开的内核数据结构,目前初步实现如下功能: 1.进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看,支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复 ssdt hook 和 inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego 等 Notify Routine 信息查看,并支持对这些 Notify Routine 的删除 5.端口信息查看,目前不支持2000系统 6.查看消息钩子

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值