Board logo

标题: [其他] XueTr命令行简易版本(命令行进程管理器)ARK工具 [打印本页]

作者: y169168712    时间: 2010-10-6 22:52     标题: XueTr命令行简易版本(命令行进程管理器)ARK工具

linxer作品【XueTr命令行简易版本

例1:
强制杀进程
XueTrCmd.exe fkp 0x81876550
十六进制线程对象地址就是进程eprocess,用冰刃之类的工具可以看到
问题1:
已知进程的完整路径c:\windows\system32\internat.exe
怎么用批处理得到进程eprocess

XueTr命令行版本介绍:

应一些人邀请,特写了一个XueTr的简易控制台版本,功能及其简单,使用也会很不方便,但还是能干一些事情的。
没有精力把这个东西做的比较精致,也没太打算把它做的比较精致,以后会不会继续更新这个东西也是一个未知数。
本软件加了Themida和VMProtect壳,可能有些杀毒软件会报毒......请大家放心使用,这属于杀毒软件误报。
本软件免费,但未获得作者书面授权,禁止用于商业用途;另外禁止本软件用于恶意用途(比如作为病毒木马的一部分、破解网吧收费系统等)。
使用本软件前,您需要明白:如果您使用本工具,给您直接或者间接造成损失、损害,本人概不负责。从您使用本小工具的一刻起,将视为您已经接受了本免责声明。
由于你有心完善控制台版本,可以跟我联系,我可以视情况提供SDK接口和控制台版本代码,当然我想有不少人是不合适干这个的(这种玩意看似简单,其实巨繁琐、恶心),因此很多请求可能会被我过滤掉......

使用方法:
1.直接XueTrCmd.exe运行,这个会进入到一个循环中,这个循环里反复接收用户输入的命令,退出这个循环后,会自动卸载驱动程序。
2.XueTrCmd.exe带参数运行,这个会执行具体的参数命令,程序退出时,不会卸载驱动程序。
具体命令说明:
1.usage
无参数,列举当前可使用的所有命令情况
2.tasklist
无参数,枚举进程
3.ps
和tasklist等效
4.lpm
两个参数,第一个是十进制的进程id,第二个是十六进制的进程对象地址,本命令枚举进程的模块
5.fpm
两个参数,第一个是十六进制的进程对象地址,第二个是十六进制的模块基址,本命令卸载进程模块
6.lpt
两个参数,第一个是十进制的进程id,第二个是十六进制的进程对象地址,本命令枚举进程的线程
7.kt
一个参数,参数为十六进制线程对象地址,本命令杀线程
8.fkt
一个参数,参数为十六进制线程对象地址,本命令强制杀线程
9.kp
一个参数,参数为十六进制进程对象地址,本命令杀进程
10.fkp
一个参数,参数为十六进制进程对象地址,本命令强制杀进程
11.qpsr
一个参数,参数为十六进制进程对象地址,本命令查询进程的唤醒阻塞状态
12.sp
一个参数,参数为十六进制进程对象地址,本命令阻塞进程
13.rp
一个参数,参数为十六进制进程对象地址,本命令唤醒阻塞的进程
14.qtsr
一个参数,参数为十六进制线程对象地址,本命令查询线程的唤醒阻塞状态
15.st
一个参数,参数为十六进制线程对象地址,本命令阻塞线程
16.rt
一个参数,参数为十六进制线程对象地址,本命令唤醒阻塞的线程
17.lph
两个参数,第一个是十进制的进程id,第二个是十六进制的进程对象地址,本命令枚举进程的句柄
18.cph
四个参数,第一个是十进制的进程id,第二个是十六进制的进程对象地址,第三个是十六进制的进程句柄,第四个是十六进制的进程句柄对象地址,本命令关闭进程句柄
19.fcph
四个参数,第一个是十进制的进程id,第二个是十六进制的进程对象地址,第三个是十六进制的进程句柄,第四个是十六进制的进程句柄对象地址,本命令强制关闭进程句柄
20.lw
无参数,本命令枚举进程窗口
21.lpmemory
两个参数,第一个是十进制的进程id,第二个是十六进制的进程对象地址,本命令枚举进程的内存信息
22.fpmemory
四个参数,第一个是十进制的进程id,第二个是十六进制的进程对象地址,第三个是十六进制的进程内存地址,第四个是十六进制的内存大小,本命令释放进程内存
23.lptimer
无参数,本命令枚举进程定时器
24.cptimer
一个参数,参数为十六进制定时器对象地址
25.lphk
无参数,本命令枚举进程热键
26.cphk
一个参数,参数为十六进制热键对象地址
27.lkm
无参数,本命令显示内核模块信息
28.fkm
两个参数,第一个是十六进制的驱动对象地址,第二个是驱动服务名,两个参数有一个有效就可以了,如果两个有效优先使用驱动对象地址,本命令卸载驱动
29.ckmemory
三个参数,第一个是十六进制的模块基址,第二个是要拷贝的字节大小,第三个是输出文件名,本命令拷贝内核内存
30.ssdt
可以使用/all参数表示显示所有,否则只显示挂够函数,本命令显示SSDT
31.rssdt
一个参数,参数为十进制的SSDT函数索引,本命令恢复SSDT上的Hook
32.shadowssdt
可以使用/all参数表示显示所有,否则只显示挂够函数,本命令显示Shadow SSDT
33.rshadowssdt
一个参数,参数为十进制的Shadow SSDT函数索引,本命令恢复Shadow SSDT上的Hook
34.fsd
可以使用/all参数表示显示所有,否则只显示挂够函数,本命令显示FSD
35.rfsd
一个参数,参数为十进制的FSD函数索引,本命令恢复FSD上的Hook
36.tcpip
可以使用/all参数表示显示所有,否则只显示挂够函数,本命令显示TCPIP上的钩子
37.rtcpip
一个参数,参数为十进制的TCPIP函数索引,本命令恢复TCPIP上的Hook
38.kbd
可以使用/all参数表示显示所有,否则只显示挂够函数,本命令显示Keyboard上的钩子
39.rkbd
一个参数,参数为十进制的Keybaord函数索引,本命令恢复Keyboard上的Hook
40.idt
可以使用/all参数表示显示所有,否则只显示挂够函数,本命令显示IDT上的钩子
41.objecttype
可以使用/all参数表示显示所有,否则只显示挂够函数,本命令显示ObjectType上的钩子
42.robjecttype
两个参数,第一个是十六进制的ObjectType对象地址,第二个是ObjectType里对应的函数名,本命令恢复ObjectType上的Hook
43.nr
无参数,本命令列举Notify Routine
44.rnr
两个参数,第一个是十六进制的Notify Routine入口函数地址,第二个是Notify Routine类型名,本命令删除Notify Routine
45.port
无参数,本命令列举端口信息
46.mbr
无参数,本命令检查MBR Rootkit
47.classpnp
可以使用/all参数表示显示所有,否则只显示挂够函数,本命令显示classpnp上的钩子
48.rclasspnp
可以使用/all参数表示显示所有,否则只显示挂够函数,本命令显示classpnp上的钩子
49.atapi
可以使用/all参数表示显示所有,否则只显示挂够函数,本命令显示atapi上的钩子
50.ratapi
可以使用/all参数表示显示所有,否则只显示挂够函数,本命令显示atapi上的钩子
51.acpi
可以使用/all参数表示显示所有,否则只显示挂够函数,本命令显示acpi上的钩子
52.racpi
可以使用/all参数表示显示所有,否则只显示挂够函数,本命令显示acpi上的钩子
53.dpctimer
无参数,本命令显示DPC定时器信息
54.rdpctimer
一个参数,参数为十六进制DPC定时器对象地址
55.filter
无参数,本命令枚举Filter过滤驱动
56.rfilter
两个参数,第一个是十六进制的DeviceObject地址,第二个是Filter类型名,本命令删除Filter过滤驱动
57.messagehook
无参数,本命令显示消息钩子
58.sigcheck
一个参数,参数为文件路径,本命令对文件进行数字签名
59.processhook
两个参数,第一个是十进制的进程id,第二个是十六进制的进程对象地址,本命令枚举进程的Hook
60.kernelhook
无参数,本命令枚举内核模块Hook
61.del
一个必备参数,参数为文件路径,本命令删除一个文件,如果需要强制删除文件,可以在文件路径前加上/f开关
62.copy
两个参数,第一个是存在的文件路径,第二个是新文件路径,本命令复制文件
63.rename
两个参数,第一个是存在的文件路径,第二个是新文件路径,本命令重命名文件
64.dir
一个参数,参数为文件目录,本命令相当于Windows控制台的dir命令功能
65.regkey
一个参数,参数是注册表路径,本命令枚举注册表该路径下的子键信息
66.regvalue
一个参数,参数是注册表路径,本命令枚举注册表该路径下的值信息
67.delvalue
两个参数,第一个是注册表路径,第二个是注册表值名,本命令删除注册表中的一个值项
68.scsi
可以使用/all参数表示显示所有,否则只显示挂够函数,本命令显示scsi上的钩子
69.rscsi
可以使用/all参数表示显示所有,否则只显示挂够函数,本命令显示scsi上的钩子
70.mouse
可以使用/all参数表示显示所有,否则只显示挂够函数,本命令显示mouse上的钩子
71.rmouse
可以使用/all参数表示显示所有,否则只显示挂够函数,本命令显示mouse上的钩子
72.exit
无参数,本命令用于退出XueTrCmd程序
73.quit
和exit等效

下载点我(md5:F25AD80ECE8FF00AB0DB90639FC19225)

[ 本帖最后由 y169168712 于 2010-10-25 23:02 编辑 ]




欢迎光临 批处理之家 (http://www.bathome.net/) Powered by Discuz! 7.2