XueTr-火眼合作版本说明.doc

XueTr-火眼合作版本说明 如果您对window系统不甚熟悉，您还是不要使用本工具,即使要使用，也不要用本工具胡乱操作。 基于以下原因，由本工具直接或者间接导致的问题，本人概不负责： 1.本人水平很菜，尤其是window内核方面，最多只能算个初学者，本工具也只是我最近学习的一个附属品 2.由于本人是window内核初学者，为了在内核写更多的代码，以提高本人水平，本人把尽量多的代码写在了内核层 3.最近比较忙，虽然本人在各系统里(2000/xp/2003/vista/2008)经过了仔细的测试，但还是难免有疏忽的地方 致谢： 感谢angel13th、backway、dl123100、曲中求、tawny2008、wolfwalk888(字母序排列)卓有成效的测试(建议)，十分感激，没齿难忘。 改动说明： 2012-10-22 XueTr-火眼合作版本: 1.加入了上传文件到金山火眼分析，并查看火眼分析结果的功能 2011-12-03 V0.45版本: 1.修正Win7上枚举Object Hook的时候一个潜在程序崩溃Bug(感谢曲中求等朋友的指出) 2011-11-09 V0.44版本: 1.加入导出所有日志功能(电脑体检) 2.在关于里加入了一个“爱心捐赠”信息(被某人说成行乞) 3.修正对象劫持检测部分对DR0下层设备的一个误报(感谢dl123100多次反馈，反馈了N次我都没改，不好意思) 4.修正了FC、XueTr群里以及卡饭网友反馈的一些Bug，再次表示感谢 2011-09-17 V0.43B版本: 1.修正0.43版本引入的一个可能导致少数机器死机的Bug 2011-09-12 V0.43版本: 1.修正端口枚举显示的一个Bug 2011-08-30 V0.42版本: 1.修正asm大牛反馈的一个枚举进程模块的Bug(由于更换DDK到7600版本，有个变量没及时变换导致) 2.处理了下这几天比较火的ZeroAccess Rootkit,避免XueTr被ZeroAcess恶意结束(我未分析这个病毒,感谢dl123100的分析并告知分析结果) 2011-06-25 V0.41版本: 1.新增对WinIO的检测(内核---直接IO) 2.修正一个驱动逻辑上的Bug(感谢莫灰灰同学) 2.修正一个蓝屏(感谢dl123100、jackozoo等同学的反馈) 2011-06-06 V0.40端午节版本: 1.修正Win7 SP1端口枚举的Bug 2.处理文件畸形路径(包含对./..目录以及RLO路径的处理) 3.修正NTFS流文件枚举上的Bug(请开启物理磁盘分析功能) 4.修正驱动上的Bug(感谢dl123100、KiDebug等人直接或者间接意见) 5.修改了卸载驱动时的提示,卸载驱动是很危险的,请不要轻易尝试 2011-03-02 V0.39(本版dl123100提供了很多建议，不过由于某些原因很多都没有改，在此表示歉意，最近人懒了): 1.支持Win7 SP1，本还想支持WinPE系统，发现不好搞由于拉倒了 2.增加内核钩子扫描 3.增加Object Hook扫描 4.增加启动项枚举 2010-11-30 吾爱破解专版: 1.新增WorkerThread枚举，主要为了对付一些TDSS病毒(感谢dl123100指点思路) 2.新增一个XueTr使用帮助手册 3.修正一处LSP和安全模式修复功能的Bug 2010-10-01 0.37版本: 1.新增鼠标驱动Irp Hook检测 2.新增KeUserModeCallback函数使用的用户态_apfnDispatch函数数组Hook检测 3.新增LSP和安全模式修复功能 4.注册表部分新增查找隐藏项功能,并修正了注册表查找不好使Bug 5.修正几处Bug(感谢dl123100、JuncoJet等朋友的指出,由于现在在火车上无法一一列名致谢,抱歉) 2010-07-16 0.36版本: 1.增加GDT上调用门检测(内核标签的GDT项) 2.增加对TDSS病毒的DeviceObject、DriverObject对象劫持检测(内核标签的对象劫持项) 3.修复上个版本引入的一个可能导致Vista以上系统蓝屏的Bug(感谢dl123100的指出和帮助) 2010-07-07(又是一年7.7) 0.35版本:(本版本只是一个临时版本，修正上一个版本的一些Bug，有人已经在我Blog发飙了，抱歉) 1.去掉了XT启动时广为诟病的MBR检测，改到系统杂项部分自己点检测按钮检测 2.修正数字签名泄露内存