1 运行
运行,原来是胡哥所作;胡哥真是棒;
2 查看进程;多了EPROCESS列
每个进程都有一个 EPROCESS 结构,里面保存着进程的各种信息,和相关结构的指针。EPROCESS 结构位于系统地址空间,所以访问这个结构需要有ring0的权限。使用 Win2k DDK 的 KD (内核调试器)我们可以得到 EPROCESS 结构的定义。
3 查看驱动
可看到每个驱动的驱动入口和驱动对象的地址;有一个 Service 列,有的行有值,有的无值;
莫非有值的驱动是用服务加载的?
CreateService加载驱动过程
用CreateService()函数
1,先是它向Service进程注册服务。
2,然后Service进程调用ZwLoadDriver()加载驱动。
4 查看网络
首先是端口情况;
看到有两个专门针对IE的操作;
SPI是何物;是这个吗?
SPI是串行外设接口(Serial Peripheral Interface)的缩写。SPI,是一种高速的,全双工,同步的通信总线;
WFP:
微软在VISTA以后,使用了WFP平台来代替之前XP和03中的基于包过滤的技术,比如Transport Driver Interface(TDI)过滤,Network Driver Interface Specification(NDIS)过滤,Winsock layered Service Providers(LSP).WFP是一组API和系统服务,它给网络过滤的应用提供了一种平台。WFP的这些API
可以在操作系统网络堆栈的不同层次进行包的处理,在数据到达目的地之前,进行过滤或者修改。
5 查看钩子
可看到各种类型的钩子
SSDT和Shadow SSDT:
SSDT:主要处理 Kernel32.dll中的系统调用,如openProcess,ReadFile等,主要在ntoskrnl.exe中实现(微软有给出 ntoskrnl源代码)
ShadowSSDT: 主要处理,user32.dll,GDI32.dll中调用的函数,如postMessage,SendMessage,FindWindow,主要在win32k.sys中实现.(微软未给出win32k代码)
导入地址表钩子(import Address table hooking)。
当应用程序使用另一个库中的函数时,必须导入该函数的地址。都是通过IAT来实现的。
应用程序文件系统映像的IMAGE_IMPORT_DESCRIPTOR结构,它包含导入函数的DLL名称,和两个IMAGE_IMPROT_BY_NAME数组指针,它包含了导入函数的名称。这种方式对于显示调用DLL无效。
内联函数钩子
在实现内联函数钩子时,实际上是重写目标函数的代码字节, 所以无论目标进程如何或何时解析函数地址,都能够勾住函数。
看下消息钩子栏,大部分是360干的;360chrome.exe这个是什么,应该是我用的360极速浏览器;
6 查看内核
可看到MBR信息;
什么是MBR,见;
http://blog.csdn.net/bcbobo21cn/article/details/51171472
看下过滤驱动;
过滤是在不影响上层和下层接口的情况下,在Windows系统内核中加入新的层,从而不需要修改上层的软件或者下层的真实驱动程序,就加入了新的功能。
为什么有这么多过滤驱动;多数是微软自己干的;谁能解释下?
7 启动项
8 系统设置界面
64位win7 冰刃下载:文件名是Win64AST_1.10_PortableSoft
http://pan.baidu.com/s/1skZx4TZ