网站首页 > 资源文章 正文
在翻出12年前用C#写的自我管理软件之后,进一步激发了本猫的怀旧情怀。
上一篇在此:
这不,昨天竟然又找出2010年写的一款Windows系统入侵检测及防御小工具,当时命名是:NtInfoGuy!
对于Windows的内部,本猫觉得有太多的东西需要了解,认知。
本猫非凡的、从不知足的探求本性驱使自己要拨开迷雾得见青天...
太多的木马,病毒,Rootkit隐藏在系统中,这需要我们去侦查、洞悉。对于一些系统程序员来说,了解当前NT系统的内部状态,信息同样也是相当有用和重要的。(反正当时本猫是这么想的)
虽然有不少这样的小工具, 但是它们都只是涉及到系统信息的各个不同子集。在这样一个背景下非常有必要(本猫YY的...)有一个可以查看NT系统完整状态信息的工具,于是NtInfoGuy应运而生了。
这个东东不是从石头中蹦出来的,却是从大熊猫脑海中逐渐浮现出来的。该工具采用控制台开发,当时觉得有精力的话可能会转成GUI的方式,不过现在看来估计永远也不会了...
我记得当时程序兼容的系统有:
Win2k(sp4),Winxp(sp3),Win2k3(sp2),Vista,Windows7(9年前啊!!!)
NtInfoGuy全部由C加上少量汇编开发而成,当时使用C+汇编的感觉真是爽爆了!!!
下面是几张实际运行的截图:
?
NtInfoGuy已实现的功能我简单回忆了一下,有下面这些:
1 显示系统SSDT表,SSDT Shadow表并且尝试寻找可能的服务表项钩子,红色标示出了可能的钩子;
?
2 显示系统GDT表,并且显示各个表项的属性;
?
3 显示系统IDT表,并且显示各个门的属性;
?
4 显示当前系统加载模块的信息,并且可识别出windows可信任模块;
红字表示不受信任的模块或在磁盘上未找到的模块。
?
5 直接从内核中获取系统加载模块的信息,在DbgView中显示;
6 显示系统各个主要部件内核变量的值.
当然觉得这还远远不够,下面是本猫当时还准备添加的功能:
- 1 准备再添加Inline Hook的识别,以及将Hook还原的功能;
- 2 将内核地址对应到一个区域中,比如一个驱动,换页池,非换页池等;
- 3 显示指定位置内核代码的反汇编;
- 4 增加GUI,可能用SDK,也可能用VB,C#等等语言来写;
- 5 更加全面的内核变量的显示,目前只是显示了内存管理器的内核变量。
- 希望有兴趣的童鞋可以参与进来。如果你一直是单干的程序员,甚至不是专业的程序员,但对编程有狂热的兴趣,想感受结对编程的乐趣,请和熊猫偶联系。如果你不懂系统编程,但是界面设计很有一手也可以加入。这个工具只是一个雏形,希望可以有更成熟的表现。 (也是自我YY么???)
下面是9年前写的使用说明,可以看到当时伪装成入侵防御软件的木马病毒有多猖狂,人与人还得相互信任啊!!!
程序说明 :
- 1 首先熊猫以人格担保代码里无任何木马,病毒,RootKit等无聊东东;
- 2 我写的代码是NtInfoGuy.exe和NtInfoGuy.dll加起来不到60KB,其他2个Dll是微软官方的调试
- 以及符号服务库,在运行时是要使用的。如果你的系统中安装了新版的WinDbg,另外这两个Dll
- 可以使用WinDbg目录中的新版本。
- 3 程序需要加载驱动程序进入内核取得信息;
- 4 程序需要自动连接到微软官方符号网站下载内核的符号文件,否则某些内核符号不能获得WinDbg下载符号文件是同样的道理。
- 5 该程序可能有BUG、漏洞,可能会导致系统崩溃,请在非关键系统上运行。该程序带来的一切损失和熊猫无关哦。
- 6 关于该程序的更多信息请观赏 : http://blog.csdn.net/mydo/archive/2010/0/17/5742188.aspx
- 7 程序第一次运行时因为要下载NT符号文件可能比较慢,一旦符号下载完成,以后的运行都会很快.
我记得符号文件下载的位置就在程序当前路径的syms文件夹中,所以运行程序后会自动到微软调试服务器中下载调试符号文件,当时很多人以为是木马行为...人与人之间起码的相互信任呢???
当时本猫还煞有其事开源了,开源了,开源了!!!
不过当时可没有GitHub啊!!!
NtInfoGuy下载地址 :
http://hopy.bokee.com/inc/NtInfoGuy.7z
NtInfoGuy的源代码还可以到看雪下载:
http://bbs.pediy.com/showthread.php?t=117432
最后想想本猫十几年前的自己,再看看现在的自己,感叹肥了一圈不说,那种天不怕地不怕的冲劲也淡了不少,所以说:种一棵树最好是10年前,其次就是现在!
大家是否也这样认为呢?
感谢观赏 ;)
- 上一篇: 想成为编程高手,一定要懂汇编吗?
- 下一篇: Mac精品软件下载网站汇编(mac软件下载网址)
猜你喜欢
- 2024-10-04 汇编语言真的没必要学了吗!(汇编语言值得学吗)
- 2024-10-04 Adobe各种软件问题解决汇编(adobe程序)
- 2024-10-04 最基础的逆向实战教程(最好的逆向教程)
- 2024-10-04 ida汇编逆向游戏脚本网络协议逆向插件海外脱机27
- 2024-10-04 汇编语言入门(一)(汇编语言简明教程)
- 2024-10-04 X86 架构处理器汇编伪指令介绍(x86汇编指令集解析)
- 2024-10-04 玩一玩avr汇编,探究计算机的本质
- 2024-10-04 学习汇编语言有什么用?怎么才能学好?
- 2024-10-04 Windows11搭建汇编开发环境(汇编开发环境配置)
- 2024-10-04 管理必备:57页企业发展战略常用工具汇编(PPT完整版)
欢迎 你 发表评论:
- 最近发表
- 标签列表
-
- 电脑显示器花屏 (79)
- 403 forbidden (65)
- linux怎么查看系统版本 (54)
- 补码运算 (63)
- 缓存服务器 (61)
- 定时重启 (59)
- plsql developer (73)
- 对话框打开时命令无法执行 (61)
- excel数据透视表 (72)
- oracle认证 (56)
- 网页不能复制 (84)
- photoshop外挂滤镜 (58)
- 网页无法复制粘贴 (55)
- vmware workstation 7 1 3 (78)
- jdk 64位下载 (65)
- phpstudy 2013 (66)
- 卡通形象生成 (55)
- psd模板免费下载 (67)
- shift (58)
- localhost打不开 (58)
- 检测代理服务器设置 (55)
- frequency (66)
- indesign教程 (55)
- 运行命令大全 (61)
- ping exe (64)
本文暂时没有评论,来添加一个吧(●'◡'●)