牛刀小试，全面超越冰刃的新ARK工具XueTr

tawny2008

本文为tawny2008测试发表，转载请注明

       曾经在一段相当长的空白时期，所有ARK工具好像达成了共识，全部都没再更新了，对辅助工具的FANS来说这是噩梦，病毒都在进步，安全工具怎能停歇呢？万幸的是在这段空白时期，辅助区诞生了两个强劲的ARK新星，分别是XueTr（linxer的作品）和天琊（陈辉的作品），XueTr功能比较简朴实用，天琊则功能豪华灵活（自带主动防御），但因为牛人都比较低调，所以导致这两个工具都没什么人知道，下面由我来为大家介绍其中之一XueTr。

一、先来一份作者的介绍：

本工具可以在2000、XP(sp1/sp2/sp3)、2003(sp1/sp2/r2)、Vista(sp1)、2008和Windows 7下使用。
　

本工具目前初步实现如下功能：

　
1.进程、线程、进程模块、进程窗口信息查看，杀进程、杀线程、卸载模块等功能
2.内核驱动模块查看，支持内核驱动模块的内存拷贝
3.SSDT、Shadow SSDT、FSD、IDT信息查看，并能检测和恢复ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、Shutdown、Lego等Notify Routine信息查看，并支持对这些Notify Routine的删除
5.端口信息查看，目前不支持2000系统
6.查看消息钩子
7.内核模块的iat、eat、inline hook、patchs检测和恢复
8.磁盘、卷、键盘、网络层等过滤驱动检测，并支持删除
9.注册表编辑
10.进程iat、eat、inline hook、patchs检测和恢复
11.文件系统查看，支持基本的文件操作
12.查看（编辑）IE插件、SPI、启动项、服务、Host文件、映像劫持
13.ObjectType Hook检测和恢复

　

看了介绍觉得如何？好像很普通的样子哦，呵呵，先别那么快下结论，让我来带大家快速体验下XueTr吧。

　

本帖导读：

1楼：软件介绍。
2楼：软件界面，各功能介绍，软件设置。
3楼：进程反隐藏测试，进程强制结束测试，隐藏文件检测测试，强制删除测试。

　

tawny2008

二、XueTr各种功能体验介绍。
        绿色工具，无须安装，下面从软件界面介绍开始：

1、XueTr图标。
        浅蓝色的小图标，感觉很温柔工具：

　
　

2、XueTr主界面。
        很简朴，界面和Wsyscheck相似：

　
　

3、XueTr进程管理。
        进程管理很强大，如果有检测到隐藏进程，会在左下角显示出来：

　
　

4、XueTr内核模块。
        内核模块反隐藏能力一流，同样有隐藏模块的话会提示：

　
　

5、XueTr钩子检测。
        HOOK检测能力非常全面，可谓是安全检测利器：

　
　

6、XueTr系统回调。
        可以检测很多内核跳转模块：

　
　

7、XueTr网络检测。
        网络检测其实主要是维护IE的模块：

　
　

8、XueTr过滤驱动。
        所有磁盘的过滤驱动：

　
　

9、XueTr注册表。
        工具自带注册表编辑，有效的反隐藏和反删除：

　
　

10、XueTr文件管理。
        文件管理功能强大，有删除占位功能，可以有效防止病毒再生：

　
　

11、XueTr启动项。
        启动项检测很全面，非常不错：

　
　

12、XueTr服务检测。
        清毒时候可以快速检测到隐藏服务：

　
　

13、XueTr映像挟持。
        这个功能被分为一块了，如果像wsyscheck的排版更不错：

　
　

14、XueTr工具设置。
        提供了禁止创建进程，禁止创建线程，禁止创建文件，禁止创建注册表，禁止加载模块，禁止消息钩子注入，禁止关机重启等。对付强劲病毒可以起到大作用：

[ 本帖最后由 tawny2008 于 2009-3-11 20:53 编辑 ]

tawny2008

三、XueTr工具常用防护测试。
        说到辅助工具，大家最熟悉的莫过于冰刃和wsyscheck，在ARK领域可谓名列前矛，下面XueTr便和冰刃和wsyscheck一同面对各种类病毒技术的挑战，以便大家更加了解这几个工具。
　

　

1、隐藏进程检测能力测试。
        网上的隐藏进程软件不多，以下为检测“Freehide，Windows隐藏大师，HideToolz”三者的测试：

　

a.Freehide隐藏进程的测试。
        这个隐藏进程比较弱，任务管理器无法看到，XueTr，冰刃，wsyscheck三者全部通过，不再截图：

　
　

b.Windows隐藏大师的测试。
        名字很强大，估计受了优化大师的影响，可惜隐藏效果太差了，XueTr，冰刃，wsyscheck三者全部通过，不再截图。

　

　
　

c.HideToolz的测试。
        没想到这个工具还有点实力：XueTr和冰刃可以检测，wsyscheck检测失败。

　

　

　
　
　

2、进程强制结束测试。
        呵呵，相信这个测试是大家最关心的，由“XueTr，冰刃，wsyscheck”三者进行残酷的内核级PK：

　

a.Wsyscheck的测试。
        结束XueTr，冰刃的进程失败，不再截图。

　
　

b.冰刃的测试。
        结束XueTr进程失败，结束wsyscheck进程成功，不再截图。

　
　

c.XueTr的测试。
        结束冰刃，Wsyscheck进程成功。

　

　

　
　　

3、文件反隐藏测试。
        文件隐藏一向是病毒最爱用的手段，是否可以反隐藏，这也是重要的一项，以下为检测“Freehide，文件夹隐藏专家，文件隐藏专家3（by chenhui530）”的测试：

a.Freehide的测试。
        隐藏文件能力很弱，XueTr，冰刃，wsyscheck三者全部通过，不再截图。

　

　
　

b.文件夹隐藏专家的测试。
        本来以为又是个幌子，效果有点意外。XueTr和冰刃检测成功，wsyscheck检测失败。

　

　
　
　

c.文件隐藏专家3（by chenhui530）的测试。
        这个工具很强大，试过很多ARK工具都被绕过了，XueTr检测成功，冰刃和wsyscheck检测失败。

　

　

　


　
　

　
　

4、文件强制删除测试。
        顽固的病毒文件一向是令人头疼的问题，如果检测得到，删不了，那也是个问题。以下为检测“运行中文件强删，ntfs权限限制强删，超长另类畸形文件夹强删”的测试：

a.运行中文件强删测试。
        很多病毒文件在运行中是无法删除的，用运行中的WMA音乐文件做试验，XueTr，冰刃，wsyscheck三者用强制删除全部通过，不再截图。

　
　

b.ntfs权限限制强删测试。
        经常遇到删除一个病毒却发现我们没有权限，汗，分明是我们的电脑，还说我们没有权限，那谁有权限？这里借助一个小工具进行最高强度的权限限制，不过XueTr，冰刃，wsyscheck三者都表现良好全部通过，不再截图。

　
　

c.畸形文件夹强删测试。
        这个是一个比较变态的测试，一般的畸形文件强删工具都可以删除，这个是建立一个超长的畸形文件夹（1023层）令很多ARK工具删除能力失效，XueTr删除成功，冰刃删除失去反应，wsyscheck提示无法删除。

　

　

　

　

　

　
　

　
　

　

全部测试结果如下列表所示：

　

　

　

　

　

　

　

　　

        试验总结：XueTr作为一个新出现的ARK工具，一路过关斩将，表现能力相信令冰刃，wsyscheck都感到汗颜，毕竟长江后浪推前浪，安全工具也要适应世界而快速发展，祝所有ARK辅助工具可以更加完善与进步。

XueTr下载地址http://bbs.kafan.cn/thread-384301-1-1.html
　

[ 本帖最后由 tawny2008 于 2009-3-22 00:25 编辑 ]

250662772

wsyscheck可惜是不更新了

dl123100

XueTr确实是一款难得的ark工具，稳定、兼容性强、功能多样。特别是钩子检测、文件和注册表管理等功能属于同类软件中的佼佼者。虽然目前还有一些bug，某些方面的检测能力还不够，易用性还要加强，但对一款从最初发布至今不到3个月的工具已经很难得了！

[ 本帖最后由 dl123100 于 2009-3-11 17:19 编辑 ]

tawny2008

呵呵，是的，对应平台多也是一个优势来的

谢谢以上朋友的支持

ssyknuwyg

这些测试都是没啥意义的，应该是找世界上最牛的病毒，看看这工具是否依然能够正常启动和运作，毕竟辅助工具都是中了后才起作用，没中前再牛也不顶事。

风之海

啥时再加上天琊，狙剑一块pk，来个大乱战

annybaby

那个NTFS权限测试不是那样的，不信你试一下，不用信任工具，直接就可以删除的.....

tawny2008

？那要怎样测试？有没链接？