XueTr

一个XueTr的浅易控制台版本，功能及其简单，用也会非常不便捷，但还是能干一些事情的。没精力把这个东西做的比较精致，也没太计划把它做的比较精致。

用法：

1.直接XueTrCmd.exe运行,这个会进入到一个循环中，这个循环里反复接收用户输入的命令，退出这个循环后，会自动卸载驱动程序。

2.XueTrCmd.exe带参数运行，这个会实行具体的参数命令，程序退出时，不会卸载驱动程序。

具体命令说明：

1.usage

无参数，列举目前可用的所有命令状况

2.tasklist

无参数，枚举进程

3.ps

和tasklist等效

4.lpm

两个参数，第一个是十进制的进程id，第二个是十六进制的进程对象地址，本命令枚举进程的模块

5.fpm

两个参数，第一个是十六进制的进程对象地址，第二个是十六进制的模块基址，本命令卸载进程模块

6.lpt

两个参数，第一个是十进制的进程id，第二个是十六进制的进程对象地址，本命令枚举进程的线程

7.kt

一个参数，参数为十六进制线程对象地址，本命令杀线程

8.fkt

一个参数，参数为十六进制线程对象地址，本命令强制杀线程

9.kp

一个参数，参数为十六进制进程对象地址，本命令杀进程

10.fkp

一个参数，参数为十六进制进程对象地址，本命令强制杀进程

11.qpsr

一个参数，参数为十六进制进程对象地址，本命令查看进程的唤醒阻塞状况

12.sp

一个参数，参数为十六进制进程对象地址，本命令阻塞进程

13.rp

一个参数，参数为十六进制进程对象地址，本命令唤醒阻塞的进程

14.qtsr

一个参数，参数为十六进制线程对象地址，本命令查看线程的唤醒阻塞状况

15.st

一个参数，参数为十六进制线程对象地址，本命令阻塞线程

16.rt

一个参数，参数为十六进制线程对象地址，本命令唤醒阻塞的线程

17.lph

两个参数，第一个是十进制的进程id，第二个是十六进制的进程对象地址，本命令枚举进程的句柄

18.cph

四个参数，第一个是十进制的进程id，第二个是十六进制的进程对象地址，第三个是十六进制的进程句柄，第四个是十六进制的进程句柄对象地址，本命令关闭进程句柄

19.fcph

四个参数，第一个是十进制的进程id，第二个是十六进制的进程对象地址，第三个是十六进制的进程句柄，第四个是十六进制的进程句柄对象地址，本命令强制关闭进程句柄

20.lw

无参数，本命令枚举进程窗口

21.lpmemory

两个参数，第一个是十进制的进程id，第二个是十六进制的进程对象地址，本命令枚举进程的内存信息

22.fpmemory

四个参数，第一个是十进制的进程id，第二个是十六进制的进程对象地址，第三个是十六进制的进程内存地址，第四个是十六进制的内存大小，本命令释放进程内存

23.lptimer

无参数，本命令枚举进程定时器

24.cptimer

一个参数，参数为十六进拟定时器对象地址

25.lphk

无参数，本命令枚举进程热键

26.cphk

一个参数，参数为十六进制热键对象地址

27.lkm

无参数，本命令显示内核模块信息

28.fkm

两个参数，第一个是十六进制的驱动对象地址，第二个是驱动服务名，两个参数有一个有效就能了，假如两个有效优先用驱动对象地址，本命令卸载驱动

29.ckmemory

三个参数，第一个是十六进制的模块基址，第二个是要拷贝的字节大小，第三个是输出文件名，本命令拷贝内核内存

30.ssdt

可以用/all参数表示显示所有，不然只显示挂够函数，本命令显示SSDT

31.rssdt

一个参数，参数为十进制的SSDT函数索引，本命令恢复SSDT上的Hook

32.shadowssdt

可以用/all参数表示显示所有，不然只显示挂够函数，本命令显示Shadow SSDT

33.rshadowssdt

一个参数，参数为十进制的Shadow SSDT函数索引，本命令恢复Shadow SSDT上的Hook

34.fsd

可以用/all参数表示显示所有，不然只显示挂够函数，本命令显示FSD

35.rfsd

一个参数，参数为十进制的FSD函数索引，本命令恢复FSD上的Hook

36.tcpip

可以用/all参数表示显示所有，不然只显示挂够函数，本命令显示T安装成本P上的钩子

37.rtcpip

一个参数，参数为十进制的T安装成本P函数索引，本命令恢复T安装成本P上的Hook

38.kbd

可以用/all参数表示显示所有，不然只显示挂够函数，本命令显示Keyboard上的钩子

39.rkbd

一个参数，参数为十进制的Keybaord函数索引，本命令恢复Keyboard上的Hook

40.idt

可以用/all参数表示显示所有，不然只显示挂够函数，本命令显示IDT上的钩子

41.objecttype

可以用/all参数表示显示所有，不然只显示挂够函数，本命令显示ObjectType上的钩子

42.robjecttype

两个参数，第一个是十六进制的ObjectType对象地址，第二个是ObjectType里对应的函数名，本命令恢复ObjectType上的Hook

43.nr

无参数，本命令列举Notify Routine

44.rnr

两个参数，第一个是十六进制的Notify Routine入口函数地址，第二个是Notify Routine种类名，本命令删除Notify Routine

45.port

无参数，本命令列举端口信息

46.mbr

无参数，本命令检查MBR Rootkit

47.classpnp

可以用/all参数表示显示所有，不然只显示挂够函数，本命令显示classpnp上的钩子

48.rclasspnp

可以用/all参数表示显示所有，不然只显示挂够函数，本命令显示classpnp上的钩子

49.atapi

可以用/all参数表示显示所有，不然只显示挂够函数，本命令显示atapi上的钩子

50.ratapi

可以用/all参数表示显示所有，不然只显示挂够函数，本命令显示atapi上的钩子

51.acpi

可以用/all参数表示显示所有，不然只显示挂够函数，本命令显示acpi上的钩子

52.racpi

可以用/all参数表示显示所有，不然只显示挂够函数，本命令显示acpi上的钩子

53.dpctimer

无参数，本命令显示DPC定时器信息

54.rdpctimer

一个参数，参数为十六进制DPC定时器对象地址

55.filter

无参数，本命令枚举Filter过滤驱动

56.rfilter

两个参数，第一个是十六进制的DeviceObject地址，第二个是Filter种类名，本命令删除Filter过滤驱动

57.messagehook

无参数，本命令显示消息钩子

58.sigcheck

一个参数，参数为文件路径，本命令对文件进行数字签名

59.processhook

两个参数，第一个是十进制的进程id，第二个是十六进制的进程对象地址，本命令枚举进程的Hook

60.kernelhook

无参数，本命令枚举内核模块Hook

61.del

一个必须具备参数，参数为文件路径，本命令删除一个文件，假如需要强制删除文件，可以在文件路径前加上/f开关

62.copy

两个参数，第一个是存在的文件路径，第二个是新文件路径，本命令复制文件

63.rename

两个参数，第一个是存在的文件路径，第二个是新文件路径，本命令重命名文件

64.dir

一个参数，参数为文件目录，本命令等于Windows控制台的dir命令功能

65.regkey

一个参数，参数是注册表路径，本命令枚举注册表该路径下的子键信息

66.regvalue

一个参数，参数是注册表路径，本命令枚举注册表该路径下的值信息

67.delvalue

两个参数，第一个是注册表路径，第二个是注册表值名，本命令删除注册表中的一个值项

68.scsi

可以用/all参数表示显示所有，不然只显示挂够函数，本命令显示scsi上的钩子

69.rscsi

可以用/all参数表示显示所有，不然只显示挂够函数，本命令显示scsi上的钩子

70.mouse

可以用/all参数表示显示所有，不然只显示挂够函数，本命令显示mouse上的钩子

71.rmouse

可以用/all参数表示显示所有，不然只显示挂够函数，本命令显示mouse上的钩子

72.exit

无参数，本命令用于退出XueTrCmd程序

73.quit

和exit等效

TAG标签：进程(3)

转载请说明来源于当快软件园（https://www.lrvxg.com）

本文地址：https://www.lrvxg.com/soft/3454.html

郑重声明：文章来源于网络作为参考，本站仅用于分享不存储任何下载资源,如果网站中图片和文字侵犯了您的版权，请联系我们处理！邮箱3450399331@qq.com