[原创]NT系统信息察看工具 : NtInfoGuy
原文链接:[原创]NT系统信息察看工具 : NtInfoGuy
对于windows的内部,我们有太多的东西需要了解,认知。我们非凡的、从不知足的探求本性驱使我们要 拨开迷雾得见青天。太多的木马,病毒,Rootkit隐藏在系统中,这需要我们去侦查、洞悉。对于一些系统程序员来说,了解当前NT系统的内部状态,信息同样也是相当有用和重要的。
虽然目前有不少这样的小工具, 但是它们都只是涉及到系统信息的各个不同子集。在这样一个背景下非常有必要有一个可以查看NT系统完整状态信息的工具,于是NtInfoGuy应运而生了。这个东东不是从石头中蹦出来的,却是从大熊猫脑海中逐渐浮现出来的。该工具采用控制台开发,如果有精力可能会转成GUI的方式。程序兼容的系统: Win2k(sp4),Winxp(sp3),Win2k3(sp2),Vista,Windows7。
NtInfoGuy已实现的功能有:
1 显示系统SSDT表,SSDT Shadow表并且尝试寻找可能的服务表项钩子,红色标示出了可能的钩子;
2 显示系统GDT表,并且显示各个表项的属性;
3 显示系统IDT表,并且显示各个门的属性;
4 显示当前系统加载模块的信息,并且可识别出windows可信任模块;
红字表示不受信任的模块或在磁盘上未找到的模块。
5 直接从内核中获取系统加载模块的信息,在DbgView中显示;
6 显示系统各个主要部件内核变量的值.
当然这还远远不够,以下是准备添加的功能:
1 准备再添加Inline Hook的识别,以及将Hook还原的功能;
2 将内核地址对应到一个区域中,比如一个驱动,换页池,非换页池等;
3 显示指定位置内核代码的反汇编;
4 增加GUI,可能用SDK,也可能用VB,C#等等语言来写;
5 更加全面的内核变量的显示,目前只是显示了内存管理器的内核变量。
希望有兴趣的童鞋可以参与进来。如果你一直是单干的程序员,甚至不是专业的程序员,但对编程有狂热的兴趣,想感受结对编程的乐趣,请和熊猫偶联系。如果你不懂系统编程,但是界面设计很有一手也可以加入。这个工具只是一个雏形,希望可以有更成熟的表现。
程序说明 :
1 首先熊猫以人格担保代码里无任何木马,病毒,RootKit等无聊东东;
2 我写的代码是NtInfoGuy.exe和NtInfoGuy.dll加起来不到60KB,其他2个Dll是微软官方的调试
以及符号服务库,在运行时是要使用的。如果你的系统中安装了新版的WinDbg,另外这两个Dll
可以使用WinDbg目录中的新版本。
3 程序需要加载驱动程序进入内核取得信息;
4 程序需要自动连接到微软官方符号网站下载内核的符号文件,否则某些内核符号不能获得。
和WinDbg下载符号文件是同样的道理。
5 该程序可能有BUG、漏洞,可能会导致系统崩溃,请在非关键系统上运行。该程序带来的一切
损失和熊猫无关哦。
6 关于该程序的更多信息请观赏 : http://blog.csdn.net/mydo/archive/2010/0/17/5742188.aspx
7 程序第一次运行时因为要下载NT符号文件可能比较慢,一旦符号下载完成,以后的运行都会很快.
符号文件下载的位置就在程序当前路径的syms文件夹中.
NtInfoGuy下载地址 : http://hopy.bokee.com/inc/NtInfoGuy.7z
NtInfoGuy的源代码请到看雪下载: http://bbs.pediy.com/showthread.php?t=117432
最新文章
- Obiee11g变量
- C#编程总结(十一)数字证书
- SublimeREPL快捷键设置
- js小效果-双色球
- 【LeetCode OJ】Balanced Binary Tree
- sudo gem install cocoapods 没反应问题
- 关于更改MYECLIPSE JS 代码背景颜色
- Chart For Asp.Net ----Overview
- C#内存管理解析
- PO核准通知界面修改
- 安装Scala开发环境
- 用JDOM解析XML文件时如何解决中文问题?如何解析?
- Java SE之Java工作原理
- PAT甲级1139 First Contact
- Navicat Premium 12.0.18 / 12.0.24安装与激活
- js正则表达式子校验
- Nginx防盗链 Nginx访问控制 Nginx解析php相关配置 Nginx代理
- 编写JavaScript 代码的5个小技巧
- 自学tensorflow——2.使用tensorflow计算线性回归模型
- I.MX6 linux kernel编译错误处理