图解使用PowerTool对Windows内核做初步研究探索

PowerTool下载

http://pan.baidu.com/s/1skZx4TZ

PowerTool_1.6_PortableSoft.7z

1 系统检测

自动检测了如下安全项;

有个 流氓快捷方式 项

顽固桌面图标删不掉3种办法:

1、桌面上点鼠标右键-排列图标-运行桌面图标清理向导-选择要清理的图标-点下一步就可以了

2.如果有360安全卫士,可以尝试:

打开 360安全卫士——修复IE,全选,立即修复!

然后打开 360顽固木马专杀大全(百度搜索下载),里面也有一个修复,

把里面的与 IE相关 的选项都打上勾,立即修复 即可!

做以上动作时请先将浏览器关闭

3、(如果系统里面没有桌面图标清理向导或清理了无效)建议使用windows清理助手有绿色版不用安装)扫描后,再用故障修复(全选)修复后,桌面上点鼠标右键刷新一遍再看桌面图标是不是没有了,如果无效建议安全模式下进行操作。

2 主引导记录

可备份主引导记录;

CLI禁止中断发生

STL允许中断发生

这两个指令只能在内核模式下执行

0x7C00是x86 PC操作系统启动的位置,

Why BIOS loads MBR into 0x7C00 in x86 ?总结一下原因有以下几点:

①      "0x7C00" First appeared in首次出现在IBM PC 5150 ROM BIOS INT 19h handler(中断处理程序的地址),IBM PC 5150 BIOS Developer Team决定使用这个地址的。

②      "0x7C00"这个数字属于BIOS 的规范范畴的

③      "0x7C00 = 32KiB - 1024B" 原因在于操作系统的需求和CPU内存布局

3 系统驱动

AGP440.SYS是显卡驱动的文件

amdsata.sys是安装AHCI 1.2所需要的一个驱动文件

AHCI(Serial ATA Advanced Host Controller Interface)串行ATA高级主控接口/高级主机控制器接口)

alilide.sys属于ALi mini IDE Driver 是正常驱动文件

4 进程管理

API HOOK技术是一种用于改变API执行结果的技术,Microsoft 自身也在Windows操作系统里面使用了这个技术,如Windows兼容模式等。 API HOOK 技术并不是计算机病毒专有技术,但是计算机病毒经常使用这个技术来达到隐藏自己的目的。

5 模块

vmware托盘进程里为什么会显示一个金山公司生产的DLL?真是奇怪;

参考:

http://drops.wooyun.org/news/15514

kbasesrv篡改主页分析

6 进程权限

在Winnt.h中定义了一些权限名称的宏,

#define     SE_BACKUP_NAME                   TEXT("SeBackupPrivilege")

#define     SE_RESTORE_NAME                 TEXT("SeRestorePrivilege")

#define     SE_SHUTDOWN_NAME               TEXT("SeShutdownPrivilege")

#define     SE_DEBUG_NAME                     TEXT("SeDebugPrivilege")

7 内核模块

200多个,好多啊;

8 内核回调

回调函数就是一个通过函数指针调用的函数。

你到一个商店买东西,刚好你要的东西没有货,于是你在店员那里留下了你的电话,过了几天店里有货了,店员就打了你的电话,然后你接到电话后就到店里去取了货。在这个例子里,你的电话号码就叫回调函数,你把电话留给店员就叫登记回调函数,店里后来有货了叫做触发了回调关联的事件,店员给你打电话叫做调用回调函数,你到店里去取货叫做响应回调事件。

9 钩子

10 消息钩子

11 重要的系统文件

可直接查看Hosts文件内容;

12 文件管理

13 注册表

14 启动项

15 网络连接

16 网络连接劫持

17 工具自带的dll

此工具自带一堆dll

时间: 2024-10-05 05:53:53

图解使用PowerTool对Windows内核做初步研究探索的相关文章

图解用工具对PE文件格式做初步研究

工具: PETool,MiniHex,PEViewer 以本机notepad.exe为研究对象.本机64位,该notepad.exe是64位应用程序. 1 用peviewer打开 PE文件大体包括四部分,DOS头,NT头,节表以及具体的节.下图展示的是前三部分. 2 DOS头 e_magic:一个WORD类型,值是一个常数0x4D5A,用文本编辑器查看该值位'MZ',可执行文件必须都是'MZ'开头. e_lfanew:为32位可执行文件扩展的域,用来表示DOS头之后的NT头相对文件起始地址的偏移

Windows内核原理研究——进程创建

进程可能是用户接触的Windows系统中最多的部分了,对于Windows系统而言,进程是一个独立的地址空间可以为线程提供一个独立的执行环境, 也就是说 进程= 独立的地址空间 一个进程内核对象 线程= 一个线程自己的栈 一个线程内核对象 当然这个栈是在进程的地址空间中.那么,也就是说线程才是真正“干活”的东西,进程只不过是一些资源的集合而已.只能说是“原材料”. 在我学习Windows内核以前一直觉得进程的种种特性很神奇,比如说地址空间独立是怎么实现的呢?我们的电脑使用的都是同一块内存怎么能实现

Windows内核原理系列01 - 基本概念

1.Windows API Windows 应用编程接口(API)是针对WIndwos操作系统用户模式的系统编程接口,包含在WindwosSDK中. 2.关于.NET .NET由一个被称为FCL的类库和一个被称为CLR的公共语言运行库组成.FCL是建立在CLR之上的,而CLR是一组标准的COM服务器,提供了垃圾回收,即时编译类型检验等特性.由于CLR的这些特性,使得开发人员的生产效率得以提高..NET框架与组建的关系如下: .NET应用程序 用户模式(托管代码) —————————— 类库(FC

【转载】LINUX 和 WINDOWS 内核的区别

LINUX 和 WINDOWS 内核的区别 [声明:欢迎转载,转载请注明出自CU ACCESSORY http://linux.chinaunix.net/bbs/thread-1153868-1-1.html] 关于LINUX和WINDOWS的口水站已经很多了.本文企图从技术角度来比较下2个主流操作系统的异同.偏重于内核部分. 一.动机: 我最早是 WINDOWS 阵营的.在WINDOWS下写过2年多的驱动程序.后来由于学习需要,转投LINUX,一晃也快2年了.期间经历了很多曲折,也学到了很多

Windows 内核(WRK)编译

引子 WRK 是微软于 2006 年针对教育和学术界开放的 Windows 内核的部分源码, WRK(Windows Research Kernel)也就是 Windows 研究内核, 在 WRK 中不仅仅只提供了 Windows 内核模块的部分代码,其还提供了编译工具, 也就是通过这个编译工具,你可以将你的 WRK 编译成一个 EXE 文件, 也就是内核可执行模块,然后你可以利用这个 EXE 文件来取代操作系统本身的内核, 这样的话,下次开机的时候操作系统所加载的内核就是您编译的那个 EXE 

Windows内核

每天我们都在使用Windows系统学习.编程.听音乐.玩游戏,Windows的操作想来是非常熟练了,但是你又对Windows究竟了解多少呢?本系列的目的,就是让你对Windows系统有个更直观.更清楚.更彻底的认识.尽管我们大多数人看不到Windows的源代码,对其内存调度算法这样的最深层次的技术内幕不能明窥,但是我们能够做到比方今知道的很多其它,了解这些之后你会发如今Windows上面开发会轻车熟路,不论什么木马病毒到了你机器上只是仅仅会成为你的试验品. 鉴于Windows 9X内核早已淘汰,

Windows内核之进程的终止和子进程

1 进程终止的方法: <1>主线程的进入点函数返回(最好使用这个方法) <2>进程中的一个线程调用ExitProcesss函数(应该避免使用这种方法). <3>另一个进程中的线程调用TerminateProcess函数(应该避免使用这种方法). <4>进程中的所有线程自行终止运行(这种情况几乎从未发生). 1.1  主线程进入点函数返回 始终都应该这样来设计应用程序,即只有当主线程的进入点函数返回时,它的进程才终止运行.这是保证所有线程资源能够得到正确清除的

Windows Kernel Way 1:Windows内核调试技术

掌握Windows内核调试技术是学习与研究Windows内核的基础,调试Windows内核的方式大致分为两种: (1)通过Windbg工具在Windows系统运行之初连接到Windows内核,连接成功之后便可以调试,此时即可以调试Windows内核启动过程,又可以在Windows启动之后调试某内核组件或应用程序.或使用Windbg的Kernel debugging of the local mechine功能,在Windows系统完全启动之后,调试Windows内核组件或应用程序.这种方式需要配

【转】深入Windows内核——C++中的消息机制

上节讲了消息的相关概念,本文将进一步聊聊C++中的消息机制. 从简单例子探析核心原理 在讲之前,我们先看一个简单例子:创建一个窗口和两个按钮,用来控制窗口的背景颜色.其效果 图1.效果图  Win32Test.h 1 #pragma once 2 3 #include <windows.h> 4 #include <atltypes.h> 5 #include <tchar.h> 6 7 //资源ID 8 #define ID_BUTTON_DRAW 1000 9 #d