中文名: 手工殺毒工具XueTr
英文名: XueTr
資源格式: 壓縮包
版本: 升級到0.34版本
發行時間: 2010年05月16日
制作發行: linxer
地區: 大陸
語言: 簡體中文
簡介:

軟件類型：安全相關-系統安全/病毒防治
軟件性質：免費軟件
操作系統：windows 2000、XP(sp1/sp2/sp3)、2003(sp1/sp2/r2)、Vista(sp1/sp2)、2008(sp2)和win7
問題反饋：[email protected]
網站鏈接：http://www.xuetr.com/
免責聲明：這只是一個免費的輔助小工具，如果您使用本工具，給您直接或者間接造成損失、損害，本人概不負責。從您使用本小工具的一刻起，將視為您已經接受了本免責聲明。
版本說明：升級到0.34版本,請不要新老版本混合用
2010-05-16 0.34版本:
1.最近MBR病毒增多,因此添加了MBR Rootkit的檢查(時間有限,有些地方沒處理,不過檢查StonedBootkit、Mebroot、鬼影還是沒問題的)
2.早段時間IME劫持病毒泛濫,因此本版本加入了對IME的枚舉
3.Classpnp\Atapi\Acpi Irp Hook枚舉
4.針對最近流行的改IPSec和在桌面上建立無法刪除IE圖標的病毒,已把這兩個注冊表路徑加入到注冊表的快捷定位框(現在沒興趣自動過濾白名單檢查,只能靠大家自己分析了)
5.修復幾處Bug

【殺毒提示】
已通過安全檢測：
安全檢測軟件：Avira AntiVir Personal
版本號：9.0.0.11
病毒庫發布時間：2010-05-18
引擎版本：8.02.01.224 (20100421)

【安裝/卸載】
解壓雙擊XueTr.exe即用,刪除主目錄卸載

目前實現如下功能：
1.進程、線程、進程模塊、進程窗口、進程內存、定時器、熱鍵信息查看，殺進程、殺線程、卸載模塊等功能
2.內核驅動模塊查看，支持內核驅動模塊的內存拷貝
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、IDT信息查看，並能檢測和恢復ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、 Shutdown、Lego等Notify Routine信息查看，並支持對這些Notify Routine的刪除
5.端口信息查看，目前不支持2000系統
6.查看消息鉤子
7.內核模塊的iat、eat、inline hook、patches檢測和恢復
8.磁盤、卷、鍵盤、網絡層等過濾驅動檢測，並支持刪除
9.注冊表編輯
10.進程iat、eat、inline hook、patches檢測和恢復
11.文件系統查看，支持基本的文件操作
12.查看（編輯）IE插件、SPI、啟動項、服務、Host文件、映像劫持、文件關聯、系統防火牆規則
13.ObjectType Hook檢測和恢復
14.DPC定時器檢測和刪除
顏色說明：
1.驅動檢測到的可疑對象，隱藏服務、進程、被掛鉤函數 ----> 紅色
2.文件廠商是微軟的 ----> 黑色
3.文件廠商非微軟的 ----> 藍色
4.如果您效驗了所有簽名,對沒有簽名的模塊行 ---> 粉紅色
5.進程標簽下,當下方使用模塊窗口時,對文件廠商是微軟的進程,會檢測其所有模塊,如果有模塊是非微軟的 ----> 土黃色
以下為軟件作者linxer的說明~

如果您對window系統不甚熟悉，您還是不要使用本工具,即使要使用，也不要用本工具胡亂操作。
基於以下原因，由本工具直接或者間接導致的問題，本人概不負責：
1.本人水平很菜，尤其是window內核方面，最多只能算個初學者，本工具也只是我最近學習的一個附屬品
2.由於本人是window內核初學者，為了在內核寫更多的代碼，以提高本人水平，本人把盡量多的代碼寫在了內核層
3.最近比較忙，雖然本人在各系統裡(2000/xp/2003/vista/2008)經過了仔細的測試，但還是難免有疏忽的地方
致謝：
感謝angel13th、backway、dl123100、曲中求、tawny2008、wolfwalk888(字母序排列)卓有成效的測試(建議)，十分感激，沒齒難忘。

改動說明：
2010-05-16 0.34版本:
1.最近MBR病毒增多,因此添加了MBR Rootkit的檢查(時間有限,有些地方沒處理,不過檢查StonedBootkit、Mebroot、鬼影還是沒問題的)
2.早段時間IME劫持病毒泛濫,因此本版本加入了對IME的枚舉
3.Classpnp\Atapi\Acpi Irp Hook枚舉
4.針對最近流行的改IPSec和在桌面上建立無法刪除IE圖標的病毒,已把這兩個注冊表路徑加入到注冊表的快捷定位框(現在沒興趣自動過濾白名單檢查,只能靠大家自己分析了)
5.修復幾處Bug
2010-04-01 0.33版本:
1.新增進程定時器和熱鍵枚舉
2.看有少數病毒修改系統防火牆規則,因此添加了對系統防火牆規則的顯示
3.修正幾處Bug(感謝紫色秋楓、dl123100等朋友指出)
2009-12-20 0.32版本:
1.修正一處藍屏(感謝dl123100指出)
2.修正一處對FAT分區..目錄刪除的失誤(其實沒修正,就是屏蔽不讓刪除..目錄了,懶惰了,不想更新了)
2009-12-13 0.31版本截止到這個版本,除了日志輸入,我想大家在殺病毒方面需求比較多的功能都加入了,因此這個工具也就告一段落了)
1.修正幾個Bug
2.新增對常用文件關聯的檢測
3.新弄了個配置文件(詳見配置文件,也可以把這個文件刪除了)
2009-11-22 0.30版本:
1.修正兩處藍屏
2.加入顏色區別(進程部分,只有下方顯示模塊時候才會顏色區別有模塊注入的微軟進程)
2009-10-08 0.29版本:
1.新增對Win7(BuildNumber 7600)的支持
2.新增禁止切換桌面功能
3.新增禁止鎖定計算機功能(測試發現Hook NtUserLockWorkStation不好用,沒時間搞了)
4.Notify Routine中新增BugCheckCallback顯示、移除功能
5.增強了Kernel Hook的處理(少數機器上會有誤報,主要是當前值全是0的項,懶得去掉了,沒時間弄了)
2009-07-07(七七事變) 0.28版本:
1.新增對IE右鍵菜單的操作
2.新增禁止修改系統時間功能
3.Notify Routine中新增CmpCallback顯示、移除功能
4.修正一處Hive解析Bug(dl123100指出)
5.修正一處啟動項枚舉不全Bug(dl123100指出)
2009-05-28(端午節) 0.27版本:
1.支持vista sp2和win2008 sp2
2.修正無法枚舉內嵌NULL字符注冊表鍵Bug(感謝dl123100指出)
3.修正應用程序鉤子掃描中,序號導出函數序號顯示錯誤Bug(感謝海風月影指出)
4.本版還改了兩個小地方,不表;另外也暫時實現了深山紅葉建議中的2~3個,再此表示感謝!
5.修正無法強制刪除exfat分區文件Bug(感謝pluto1313指出)
2009-04-27 0.26版本:
1.修正少數機器上提示"內存不足"Bug
2009-04-25 0.25版本:
1.解決有少數系統上無法加載驅動Bug
2.加入強制重啟
3.支持安全模式
2009-04-10 0.24版本:
1.新增DPC定時器檢測
2.新增全局模塊卸載功能
3.豐富一些右鍵菜單
4.內核模塊加入“加載順序”顯示
5.增強SSDT、Shadow SSDT、FSD、IDT、ObjectType Hook函數所在模塊的查找能力
6.加入一個查看重啟刪除功能(文件部分樹形空間右鍵菜單)
7.文件部分加入是否常規屬性顯示,新增"去掉系統、只讀、隱藏屬性"功能
8.修正FAT32磁盤分析的一個Bug
9.修正xp無補丁版本Shadow SSDT無法顯示Bug
10.還有若干小改動，不表
2009-03-22 0.23版本：
1.消息鉤子部分加入了線程Id和模塊名的顯示
2.端口部分對遠程端口支持顯示IP所在地(需要在XT所在目錄下放置一個QQWry.dat文件,目前僅僅在簡體中文操作系統上有這個功能)
3.加強了文件搜索功能
4.禁止創建注冊表部分加入了對ring3導入Hive改注冊表的防御
5.修正了一個驅動Bug
2009-03-15 0.22版本：(由於大家希望XueTr能有個中文名，我也不知道該叫什麼，就取XT兩個字母的中文發音吧"叉踢"，記作“XT”)
1.XueTr界面語言開始支持繁體中文,在繁體系統自動顯示繁體界面
2.文件部分增加搜索文件功能(樹形空間右鍵菜單)
3.修正啟動項userinit.exe文件廠商空白Bug(感謝qdk2000和dl123100指出)
4.修正Object鉤子中"僅顯示掛鉤函數"功能無法正常顯示Bug(感謝十二羽翼指出)
5.修正服務中無法刪除服務殘留注冊表信息Bug(感謝曲中求指出)
2009-03-01 0.21版本：
1.修正SPI名字少一個字母Bug(感謝dl123100指出)
2.修正檢測到可疑驅動對象會顯示服務名Bug(感謝dl123100和曲版指出)
3.修正數字簽名把smss.exe檢測為沒有簽名bug(感謝qdk2000指出)
4.幾個窗口可以最大化了
5.支持進程和dll模塊分上、下兩層同時顯示(在進程部分右鍵點"在下方顯示模塊窗口")
6.修正xueTr清除ppxx回調時程序假死Bug
7.新增禁止創建注冊表鍵(值)
8.新增刪除文件時候占坑功能
9.新增查看文件鎖定情況功能
2009-02-16 0.20版本：
1.支持windows 7(由於win7還處於beta階段,我也不知道它的確切Build號,現在默認大於6900是win7,目前程序可以在Build:7000的系統上正常運行)
2.加入數字簽名，進程部分右鍵菜單--->查找沒有數字簽名的模塊，會掃描系統中所有進程的模塊
3.線程部分也有點改動，加了線程入口所在模塊
4.防了消息鉤子模塊對XueTr的注入(可能會導致一些美化的系統中，XueTr的界面變丑，暫時不想處理這個問題了)，另目前無法防止App_Inits模塊的注入，這個暫時不想加了(加這個需要大改動，以後有時間會考慮)
5.對抗偽進程Id
6.XueTr啟動的時候，會檢測是否有線程注入到XueTr，並給出提示
7.內核模塊部分，對有對應服務的，顯示的時候會顯示出其服務名
8.還修改了幾個Bug，不表
2009-02-05 0.19版本：
1.新支持對exFAT文件系統的解析
2.新增了結束進程時候刪除進程文件
3.對一些有文件全路徑的地方，增添了文件廠商屬性
2009-02-02 0.18版本：(本版更新純是為了解決系統掛機Bug而臨時升級的一個版本)
1.增強了啟動項檢測
2.進程部分右鍵菜單增加了查找進程模塊功能
3.解決了內核模塊檢測部分的誤報可疑驅動對象Bug(感謝dl123100指出)
4.解決了程序非正常結束，下一次啟動系統死掉Bug(感謝dl123100和angel13th指出)
2009-01-30 0.17版本：
1.增加了卸載消息鉤子
2.增加了枚舉窗口，和對窗口的操作
3.增加了禁止待機、注銷、關機和重啟功能
2009-01-26 0.16版本：
1.界面語言自適應(在中文操作系統上是中文,其它操作系統是英文)
2.注冊表部分引入了Hive分析,默認是不開啟,如果要使用可以用"使用Hive分析"菜單,選擇了這個就不會用驅動獲取注冊表了
3.加了自我保護
4.增加禁止創建進程、線程、文件以及禁止加載模塊和消息鉤子模塊注入功能
5.改了幾個界面的小問題,我的界面寫作能力很菜,不表了
6.還增強了下內核模塊鉤子檢測(還有提升空間,不想搞了)
2009-01-17 0.15版本：
1.進程部分,加入了掛起、恢復進程(線程)功能
2.文件部分加入了NTFS、FAT32、FAT16文件磁盤解析,本功能默認開啟,可以用"開啟物理磁盤分析"菜單關閉
2009-01-06 0.14版本：
1.新增ObjectType Hook檢測功能(這個功能的實現參考了sudami寫的文章,感激)
2.修正無法列舉移動存儲介質(U盤等)裡的文件bug(感謝annybaby指出)
3.修正File和Rigister顯示界面,當多次最小化最大化後,樹形控件寬度逐漸變窄bug(感謝li58指出)
2009-01-02 0.13版本：
1.調整界面
2.新增操作IE插件、SPI、啟動項、服務、映像劫持、Host文件等功能
3.修正一處filter顯示bug(感謝dl123100指出)
2008-12-22 0.12版本：
1.解決在裝有微點機器下全是白板的問題
2008-12-11 0.11版本：
1.修正有些機器全是白板問題