PC Hunter V1.56 [2019-01-31] 发布，支持Win10(17763)

显示全部楼层 · 发表于 2009-6-20 17:33:50

谢谢了，收用了

显示全部楼层 · 发表于 2009-6-21 04:14:26

很好用.谢谢

显示全部楼层 · 发表于 2009-6-21 10:07:53

谢谢LZ,使用一下

显示全部楼层 · 发表于 2009-6-21 10:14:36

希望linxer大牛有空增强下hook的检测功能，影子系统08的ssdthook 检测不到。

影子系统2008的老版本有IFSHOOK ，我没找到，这个可能是我不会用
微点的ssdt hook也没找到，可能绕过了xuetr的检测。

显示全部楼层 · 发表于 2009-6-21 10:28:23

我孤陋寡闻刚听说下来用下谢谢

显示全部楼层 · 发表于 2009-6-21 13:05:34

很好很好谢谢啦

显示全部楼层 · 发表于 2009-6-21 16:31:00

能否像Wsyscheck.exe那样，如果有非微软进程就用红色标示，如果加载了非系统DLL也标出呢？

显示全部楼层 · 发表于 2009-6-21 18:08:02

原帖由 wolfwalk888 于 2009-6-21 10:14 发表
希望linxer大牛有空增强下hook的检测功能，影子系统08的ssdthook 检测不到。
影子系统2008的老版本有IFSHOOK ，我没找到，这个可能是我不会用
微点的ssdt hook也没找到，可能绕过了xuetr的检测 ...

微点的所谓“ssdt hook”在内核钩子中可以检测到，ssdt hook检测就算了吧。
影子系统应该没有ssdt hook。

不是很清楚你所说的IFSHOOK是指什么，估计指的是XueTr中的filter。
找了个snpshot.sys看了下， \Driver\snpshot挂接了disk（Device\Harddisk%d\Partition0\ DR0、磁盘层）、atapi（ IdeDeviceP0T0L0-3、微端口）设备。其中前者filter中可以显示，后者有点底层。要检测这个filter不难，估计是为了不影响还原设备正常工作，所以XueTr只提供磁盘层设备及以上的filter检测和移除。
另外，snpshot.sys hook了atapi等驱动下发的irp。

[ 本帖最后由 dl123100 于 2009-6-21 18:09 编辑 ]

显示全部楼层 · 发表于 2009-6-22 13:01:30

ifsHOOK 你那能检测出来吗？xuetr下面的FSDhook。

百度了一下资料

http://topic.csdn.net/t/20000911/13/29412.html

[ 本帖最后由 wolfwalk888 于 2009-6-23 08:02 编辑 ]

显示全部楼层 · 发表于 2009-6-22 13:53:05

支持

[原创工具] PC Hunter V1.56 [2019-01-31] 发布，支持Win10(17763)

评分

回复 1432楼 dl123100 的帖子