你好:

     感谢你访问我的 Blog ,本博客只提供博主的技术经验分享,你可以在此做简单的留言和评论,我会抽空回复你;若是要深入交流探讨,请联系QQ:47853253或者加QQ群:12012081


 

图解使用PowerTool对Windows内核做初步研究探索

 系统检测

自动检测了如下安全项;

 

\

 

有个流氓快捷方式项

 

\

 

顽固桌面图标删不掉3种办法:

1、桌面上点鼠标右键-排列图标-运行桌面图标清理向导-选择要清理的图标-点下一步就可以了

2.如果有360安全卫士,可以尝试:

打开 360安全卫士——修复IE,全选,立即修复!

然后打开 360顽固木马专杀大全(百度搜索下载),里面也有一个修复,

把里面的与 IE相关 的选项都打上勾,立即修复 即可!

做以上动作时请先将浏览器关闭

3、(如果系统里面没有桌面图标清理向导或清理了无效)建议使用windows清理助手有绿色版不用安装)扫描后,再用故障修复(全选)修复后,桌面上点鼠标右键刷新一遍再看桌面图标是不是没有了,如果无效建议安全模式下进行操作。

2 主引导记录

 

\

 

可备份主引导记录;

CLI禁止中断发生

STL允许中断发生

这两个指令只能在内核模式下执行

0x7C00是x86 PC操作系统启动的位置,

Why BIOS loads MBR into 0x7C00 in x86 ?总结一下原因有以下几点:

① "0x7C00" First appeared in首次出现在IBM PC 5150 ROM BIOS INT 19h handler(中断处理程序的地址),IBM PC 5150 BIOS Developer Team决定使用这个地址的。

② "0x7C00"这个数字属于BIOS 的规范范畴的

③ "0x7C00 = 32KiB - 1024B" 原因在于操作系统的需求和CPU内存布局

3 系统驱动

 

\

 

AGP440.SYS是显卡驱动的文件

amdsata.sys是安装AHCI 1.2所需要的一个驱动文件

AHCI(Serial ATA Advanced Host Controller Interface)串行ATA高级主控接口/高级主机控制器接口)

alilide.sys属于ALi mini IDE Driver 是正常驱动文件

4 进程管理

 

\

 

API HOOK技术是一种用于改变API执行结果的技术,Microsoft 自身也在Windows操作系统里面使用了这个技术,如Windows兼容模式等。 API HOOK 技术并不是计算机病毒专有技术,但是计算机病毒经常使用这个技术来达到隐藏自己的目的。

5 模块

 

\

 

vmware托盘进程里为什么会显示一个金山公司生产的DLL?真是奇怪;

kbasesrv篡改主页分析

6 进程权限

 

\

 

在Winnt.h中定义了一些权限名称的宏,

#define SE_BACKUP_NAME TEXT("SeBackupPrivilege")

#define SE_RESTORE_NAME TEXT("SeRestorePrivilege")

#define SE_SHUTDOWN_NAME TEXT("SeShutdownPrivilege")

#define SE_DEBUG_NAME TEXT("SeDebugPrivilege")

7 内核模块

 

\

 

200多个,好多啊;

8 内核回调

 

\

 

回调函数就是一个通过函数指针调用的函数。

你到一个商店买东西,刚好你要的东西没有货,于是你在店员那里留下了你的电话,过了几天店里有货了,店员就打了你的电话,然后你接到电话后就到店里去取了货。在这个例子里,你的电话号码就叫回调函数,你把电话留给店员就叫登记回调函数,店里后来有货了叫做触发了回调关联的事件,店员给你打电话叫做调用回调函数,你到店里去取货叫做响应回调事件。

9 钩子

 

\

 

10 消息钩子

 

\

 

11 重要的系统文件

 

\

 

可直接查看Hosts文件内容;

12 文件管理

 

\

 

13 注册表

 

\

 

14 启动项

 

\

 

15 网络连接

 

\

 

16 网络连接劫持

 

\

 

17 工具自带的dll

此工具自带一堆dll

 

 


文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags:
评论: 0 | 引用: 0 | 查看次数: 420
发表评论
你没有权限发表留言!