XueTr

一个XueTr的简易控制台版本，功能及其简单，使用也会很不方便，但还是能干一些事情的。没有精力把这个东西做的比较精致，也没太打算把它做的比较精致。

使用方法：

1.直接XueTrCmd.exe运行,这个会进入到一个循环中，这个循环里反复接收用户输入的命令，退出这个循环后，会自动卸载驱动程序。2.XueTrCmd.exe带参数运行，这个会执行具体的参数命令，程序退出时，不会卸载驱动程序。

具体命令说明：

1.usage无参数，列举当前可使用的所有命令情况2.tasklist无参数，枚举进程3.ps和tasklist等效4.lpm两个参数，第一个是十进制的进程id，第二个是十六进制的进程对象地址，本命令枚举进程的模块5.fpm两个参数，第一个是十六进制的进程对象地址，第二个是十六进制的模块基址，本命令卸载进程模块6.lpt两个参数，第一个是十进制的进程id，第二个是十六进制的进程对象地址，本命令枚举进程的线程7.kt一个参数，参数为十六进制线程对象地址，本命令杀线程8.fkt一个参数，参数为十六进制线程对象地址，本命令强制杀线程9.kp一个参数，参数为十六进制进程对象地址，本命令杀进程10.fkp一个参数，参数为十六进制进程对象地址，本命令强制杀进程11.qpsr一个参数，参数为十六进制进程对象地址，本命令查询进程的唤醒阻塞状态12.sp一个参数，参数为十六进制进程对象地址，本命令阻塞进程13.rp一个参数，参数为十六进制进程对象地址，本命令唤醒阻塞的进程14.qtsr一个参数，参数为十六进制线程对象地址，本命令查询线程的唤醒阻塞状态15.st一个参数，参数为十六进制线程对象地址，本命令阻塞线程16.rt一个参数，参数为十六进制线程对象地址，本命令唤醒阻塞的线程17.lph两个参数，第一个是十进制的进程id，第二个是十六进制的进程对象地址，本命令枚举进程的句柄18.cph四个参数，第一个是十进制的进程id，第二个是十六进制的进程对象地址，第三个是十六进制的进程句柄，第四个是十六进制的进程句柄对象地址，本命令关闭进程句柄19.fcph四个参数，第一个是十进制的进程id，第二个是十六进制的进程对象地址，第三个是十六进制的进程句柄，第四个是十六进制的进程句柄对象地址，本命令强制关闭进程句柄20.lw无参数，本命令枚举进程窗口21.lpmemory两个参数，第一个是十进制的进程id，第二个是十六进制的进程对象地址，本命令枚举进程的内存信息22.fpmemory四个参数，第一个是十进制的进程id，第二个是十六进制的进程对象地址，第三个是十六进制的进程内存地址，第四个是十六进制的内存大小，本命令释放进程内存23.lptimer无参数，本命令枚举进程定时器24.cptimer一个参数，参数为十六进制定时器对象地址25.lphk无参数，本命令枚举进程热键26.cphk一个参数，参数为十六进制热键对象地址27.lkm无参数，本命令显示内核模块信息28.fkm两个参数，第一个是十六进制的驱动对象地址，第二个是驱动服务名，两个参数有一个有效就可以了，如果两个有效优先使用驱动对象地址，本命令卸载驱动29.ckmemory三个参数，第一个是十六进制的模块基址，第二个是要拷贝的字节大小，第三个是输出文件名，本命令拷贝内核内存30.ssdt可以使用/all参数表示显示所有，否则只显示挂够函数，本命令显示SSDT31.rssdt一个参数，参数为十进制的SSDT函数索引，本命令恢复SSDT上的Hook32.shadowssdt可以使用/all参数表示显示所有，否则只显示挂够函数，本命令显示ShadowSSDT33.rshadowssdt一个参数，参数为十进制的ShadowSSDT函数索引，本命令恢复ShadowSSDT上的Hook34.fsd可以使用/all参数表示显示所有，否则只显示挂够函数，本命令显示FSD35.rfsd一个参数，参数为十进制的FSD函数索引，本命令恢复FSD上的Hook36.tcpip可以使用/all参数表示显示所有，否则只显示挂够函数，本命令显示TCPIP上的钩子37.rtcpip一个参数，参数为十进制的TCPIP函数索引，本命令恢复TCPIP上的Hook38.kbd可以使用/all参数表示显示所有，否则只显示挂够函数，本命令显示Keyboard上的钩子39.rkbd一个参数，参数为十进制的Keybaord函数索引，本命令恢复Keyboard上的Hook40.idt可以使用/all参数表示显示所有，否则只显示挂够函数，本命令显示IDT上的钩子41.objecttype可以使用/all参数表示显示所有，否则只显示挂够函数，本命令显示ObjectType上的钩子42.robjecttype两个参数，第一个是十六进制的ObjectType对象地址，第二个是ObjectType里对应的函数名，本命令恢复ObjectType上的Hook43.nr无参数，本命令列举NotifyRoutine44.rnr两个参数，第一个是十六进制的NotifyRoutine入口函数地址，第二个是NotifyRoutine类型名，本命令删除NotifyRoutine45.port无参数，本命令列举端口信息46.mbr无参数，本命令检查MBRRootkit47.classpnp可以使用/all参数表示显示所有，否则只显示挂够函数，本命令显示classpnp上的钩子48.rclasspnp可以使用/all参数表示显示所有，否则只显示挂够函数，本命令显示classpnp上的钩子49.atapi可以使用/all参数表示显示所有，否则只显示挂够函数，本命令显示atapi上的钩子50.ratapi可以使用/all参数表示显示所有，否则只显示挂够函数，本命令显示atapi上的钩子51.acpi可以使用/all参数表示显示所有，否则只显示挂够函数，本命令显示acpi上的钩子52.racpi可以使用/all参数表示显示所有，否则只显示挂够函数，本命令显示acpi上的钩子53.dpctimer无参数，本命令显示DPC定时器信息54.rdpctimer一个参数，参数为十六进制DPC定时器对象地址55.filter无参数，本命令枚举Filter过滤驱动56.rfilter两个参数，第一个是十六进制的DeviceObject地址，第二个是Filter类型名，本命令删除Filter过滤驱动57.messagehook无参数，本命令显示消息钩子58.sigcheck一个参数，参数为文件路径，本命令对文件进行数字签名59.processhook两个参数，第一个是十进制的进程id，第二个是十六进制的进程对象地址，本命令枚举进程的Hook60.kernelhook无参数，本命令枚举内核模块Hook61.del一个必备参数，参数为文件路径，本命令删除一个文件，如果需要强制删除文件，可以在文件路径前加上/f开关62.copy两个参数，第一个是存在的文件路径，第二个是新文件路径，本命令复制文件63.rename两个参数，第一个是存在的文件路径，第二个是新文件路径，本命令重命名文件64.dir一个参数，参数为文件目录，本命令相当于Windows控制台的dir命令功能65.regkey一个参数，参数是注册表路径，本命令枚举注册表该路径下的子键信息66.regvalue一个参数，参数是注册表路径，本命令枚举注册表该路径下的值信息67.delvalue两个参数，第一个是注册表路径，第二个是注册表值名，本命令删除注册表中的一个值项68.scsi可以使用/all参数表示显示所有，否则只显示挂够函数，本命令显示scsi上的钩子69.rscsi可以使用/all参数表示显示所有，否则只显示挂够函数，本命令显示scsi上的钩子70.mouse可以使用/all参数表示显示所有，否则只显示挂够函数，本命令显示mouse上的钩子71.rmouse可以使用/all参数表示显示所有，否则只显示挂够函数，本命令显示mouse上的钩子72.exit无参数，本命令用于退出XueTrCmd程序73.quit和exit等效

Tags:进程.