[原創]NT系統信息察看工具 : NtInfoGuy
原文鏈接:[原創]NT系統信息察看工具 : NtInfoGuy
對於windows的內部,我們有太多的東西需要了解,認知。我們非凡的、從不知足的探求本性驅使我們要 撥開迷霧得見青天。太多的木馬,病毒,Rootkit隱藏在系統中,這需要我們去偵查、洞悉。對於一些系統程序員來說,了解當前NT系統的內部狀態,信息同樣也是相當有用和重要的。
雖然目前有不少這樣的小工具, 但是它們都只是涉及到系統信息的各個不同子集。在這樣一個背景下非常有必要有一個可以查看NT系統完整狀態信息的工具,於是NtInfoGuy應運而生了。這個東東不是從石頭中蹦出來的,卻是從大熊貓腦海中逐漸浮現出來的。該工具采用控制台開發,如果有精力可能會轉成GUI的方式。程序兼容的系統: Win2k(sp4),Winxp(sp3),Win2k3(sp2),Vista,Windows7。
NtInfoGuy已實現的功能有:
1 顯示系統SSDT表,SSDT Shadow表並且嘗試尋找可能的服務表項鉤子,紅色標示出了可能的鉤子;
2 顯示系統GDT表,並且顯示各個表項的屬性;
3 顯示系統IDT表,並且顯示各個門的屬性;
4 顯示當前系統加載模塊的信息,並且可識別出windows可信任模塊;
紅字表示不受信任的模塊或在磁盤上未找到的模塊。
5 直接從內核中獲取系統加載模塊的信息,在DbgView中顯示;
6 顯示系統各個主要部件內核變量的值.
當然這還遠遠不夠,以下是准備添加的功能:
1 准備再添加Inline Hook的識別,以及將Hook還原的功能;
2 將內核地址對應到一個區域中,比如一個驅動,換頁池,非換頁池等;
3 顯示指定位置內核代碼的反匯編;
4 增加GUI,可能用SDK,也可能用VB,C#等等語言來寫;
5 更加全面的內核變量的顯示,目前只是顯示了內存管理器的內核變量。
希望有興趣的童鞋可以參與進來。如果你一直是單干的程序員,甚至不是專業的程序員,但對編程有狂熱的興趣,想感受結對編程的樂趣,請和熊貓偶聯系。如果你不懂系統編程,但是界面設計很有一手也可以加入。這個工具只是一個雛形,希望可以有更成熟的表現。
程序說明 :
1 首先熊貓以人格擔保代碼裡無任何木馬,病毒,RootKit等無聊東東;
2 我寫的代碼是NtInfoGuy.exe和NtInfoGuy.dll加起來不到60KB,其他2個Dll是微軟官方的調試
以及符號服務庫,在運行時是要使用的。如果你的系統中安裝了新版的WinDbg,另外這兩個Dll
可以使用WinDbg目錄中的新版本。
3 程序需要加載驅動程序進入內核取得信息;
4 程序需要自動連接到微軟官方符號網站下載內核的符號文件,否則某些內核符號不能獲得。
和WinDbg下載符號文件是同樣的道理。
5 該程序可能有BUG、漏洞,可能會導致系統崩潰,請在非關鍵系統上運行。該程序帶來的一切
損失和熊貓無關哦。
6 關於該程序的更多信息請觀賞 : http://blog.csdn.net/mydo/archive/2010/0/17/5742188.aspx
7 程序第一次運行時因為要下載NT符號文件可能比較慢,一旦符號下載完成,以後的運行都會很快.
符號文件下載的位置就在程序當前路徑的syms文件夾中.
NtInfoGuy下載地址 : http://hopy.bokee.com/inc/NtInfoGuy.7z
NtInfoGuy的源代碼請到看雪下載: http://bbs.pediy.com/showthread.php?t=117432
