⑴XueTr与著名的冰刃(IceSword)不相上下,XueTr能够具备冰刃的注册表管理功能,即完全显现隐藏的注册表键值获取任意注册表键值的高到权限等;另XueTr删除文件的功能已经超越了冰刃,并且有Unlocker所不具备的解锁隐藏文件能力,而在杀进程方面,XueTr与冰刃是一样的强大,但是操作更为友好和安全些。
⑵XueTr功能如下:
⑶.进程线程进程模块进程窗口进程内存定时器热键信息查看,杀进程杀线程卸载模块等功能
⑷.内核驱动模块查看,支持内核驱动模块的内存拷贝
⑸.SSDTShadow SSDTFSDKBDTCPIPIDT信息查看,并能检测和恢复ssdt hook和inline hook
⑹.CreateProcessCreateThreadLoadImageCmpCallbackBugCheckCallbackShutdownLego等Notify Routine信息查看,并支持对这些Notify Routine的删除
⑺.端口信息查看,目前不支持系统
⑻.XueTr内核模块的iateatinline hookpatches检测和恢复
⑼.磁盘卷键盘网络层等过滤驱动检测,并支持删除
⑽.进程iateatinline hookpatches检测和恢复
⑾.文件系统查看,支持基本的文件操作
⑿.查看(编辑IE插件SPI启动项服务Host文件映像劫持文件关联系统防火墙规则
⒀.ObjectType Hook检测和恢复
⒁.DPC定时器检测和删除
⒂XueTr v.吾爱和谐专版更新日志:
⒃.修正asm大牛反馈的一个枚举进程模块的Bug(由于更换DDK到版本,有个变量没及时变换导致)
⒄.理了下这几天比较火的ZeroAess Rootkit,避免XueTr被ZeroAcess恶意结束(我未分析这个病毒,感谢dl的分析并告知分析结果)