一、xuetr.exe怎样用
工具初次打开后就会立刻显示出系统里目前存在的所有进程
这个进程列表有 7个栏目查看,分别为:
1、映像名称:进程名字
2、进程ID:进程的Id号码
3、父进程ID:说明该进程由谁创建启动的,比如这里XueTr程序是在winrar压缩包里双击打开的
所以XueTr是由winrar创建的,因此它父进程ID号和WINRAR程序ID号一样都是2476
4、映像路径:进程文件的具体位置。
5、EPROCESS:进程在系统内核的地址,熟悉点Windows内核的人,可以通过这个地址查看更多的信息,但教程是面向新人的,所以可以不在意这些信息,也不影响平时使用。
6、应用层访问状态:说明这个进程是否允许其它进程对自己操作,比如关闭自己,一般的杀毒软件有自我保护,会禁止其它进程对自己有任何操作。
7、文件厂商:显示进程文件由那个公司出品,可以了解下该程序的出处背景,不过要知道这个文件厂商信息很容易伪造,所以只能做个参考而已不可全信。
除了这些项目,大家应该可以发现上图中我的进程项目都是用黑色和蓝色来表现的,这里不同的颜色就代表不同的意义
黑色—表示这个进程的主文件是微软的,比较安全
蓝色—这个进程文件不是微软出品的,可能是其他的公司或个人制作,安全性有待考证
粉红—也是安全有待考证,说明这个进程中还包含了其它文件,比如有些DLL文件插入到本进程里,而这些文件没有签名,默认情况下软件不会显示粉色,需要右击任意进程,选择校验所有签名才行
而如果选择一个微软的进程,然后它所包含的模块文件里有些文件是非微软公司出品的,就会用黄色显示出来
红色—比较危险了,说明进程是隐藏的或者有其它反常表现
(注,开发者的颜色说明:
1.驱动检测到的可疑对象,隐藏服务、进程、被挂钩函数---->红色
2.文件厂商是微软的---->黑色
3.文件厂商非微软的---->蓝色
4.如果您效验了所有签名,对没有签名的模块行--->粉红色
5.进程标签下,当下方使用模块窗口时,对文件厂商是微软的进程,会检测其所有模块,如果有模块是非微软的---->土黄色)
进程的检测是对病毒查杀的第一步了,这款工具对于检测到的进程操控能力很强,右击进程可以在弹出的菜单里做出各个需要的操作
二、xuetr概述
XueTr是一款备受好评的ARK工具,由linxer开发,专为Windows系统提供反病毒和rootkit解决方案。对于不熟悉Windows操作的用户,建议谨慎使用,避免误操作。XueTr的最新版本是0.45B(1.0.4.5),于2011年12月3日更新,文件大小为2,177,024字节,对应文件版本1, 0, 4, 5,其MD5值为AF31D243C6C5A18919B363D57832A3A5。
该软件支持32位Windows系统,包括Windows 2000 SP4、Windows XP(无SP、SP1、SP2、SP3)、Windows Server 2003(无SP、SP1、SP2、R2)、Windows Vista(无SP、SP1、SP2)以及Windows Server 2008(无SP、SP1)和Windows 7。XueTr的功能强大,能检测、分析和修复各种内核结构修改,帮助用户发现和移除常规软件难以察觉的恶意软件。
由于XueTr集成了基础功能,更新频率有所降低。但请注意,由于它会深入系统底层并加载驱动,部分安全软件可能会将其识别为潜在威胁并产生警告,遇到这种情况,用户可以选择忽略。同时,不建议同时使用新旧版本,以免出现功能显示异常(白板问题)等问题。
2008年12月,XueTr在卡饭论坛发布,为用户提供了一个强大的免费工具,适用于需要深入系统安全分析的场景。
三、什么是 xue tr
XueTr是近年推出的一款广受好评的ARK工具。如果您对windows系统不甚熟悉,您还是不要使用本工具,即使要使用,也不要用本工具胡乱操作。
主要功能1.进程、线程、进程模块、进程窗口、进程内存信息查看,热键信息查看,杀进程、杀线程、卸载模块等功能
2.内核驱动模块查看,支持内核驱动模块的内存拷贝
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、IDT信息查看,并能检测和恢复ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除
5.端口信息查看,目前不支持2000系统
6.查看消息钩子
7.内核模块的iat、eat、inline hook、patches检测和恢复
8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除
9.注册表编辑
10.进程iat、eat、inline hook、patches检测和恢复
11.文件系统查看,支持基本的文件操作
12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联
13.ObjectType Hook检测和恢复
14.DPC定时器检测和删除
15.MBR Rootkit检测和修复
16.内核对象劫持检测
17.WorkerThread枚举
配置工具:禁止创建线程、进程、文件、注册表值、加载模块、注入消息钩子、禁止待机、注销、关机、重启、修改系统时间、切换桌面、锁定计算机、重置注册表值、加载驱动
关机:强制重启/更为暴力的强制重启
其他:窗口置顶
『百度一下你就知道详细情况』