1 运行

运行,原来是胡哥所作;胡哥真是棒;

2 查看进程;多了EPROCESS列

每个进程都有一个 EPROCESS 结构,里面保存着进程的各种信息,和相关结构的指针。EPROCESS 结构位于系统地址空间,所以访问这个结构需要有ring0的权限。使用 Win2k DDK 的 KD (内核调试器)我们可以得到 EPROCESS 结构的定义。

3 查看驱动

可看到每个驱动的驱动入口和驱动对象的地址;有一个 Service 列,有的行有值,有的无值;
莫非有值的驱动是用服务加载的?
CreateService加载驱动过程
用CreateService()函数
1,先是它向Service进程注册服务。
2,然后Service进程调用ZwLoadDriver()加载驱动。

4 查看网络

首先是端口情况;
看到有两个专门针对IE的操作;
SPI是何物;是这个吗?
SPI是串行外设接口(Serial Peripheral Interface)的缩写。SPI,是一种高速的,全双工,同步的通信总线;
WFP:
微软在VISTA以后,使用了WFP平台来代替之前XP和03中的基于包过滤的技术,比如Transport Driver Interface(TDI)过滤,Network Driver Interface Specification(NDIS)过滤,Winsock layered Service Providers(LSP).WFP是一组API和系统服务,它给网络过滤的应用提供了一种平台。WFP的这些API
可以在操作系统网络堆栈的不同层次进行包的处理,在数据到达目的地之前,进行过滤或者修改。

5 查看钩子

可看到各种类型的钩子
SSDT和Shadow SSDT:
SSDT:主要处理 Kernel32.dll中的系统调用,如openProcess,ReadFile等,主要在ntoskrnl.exe中实现(微软有给出 ntoskrnl源代码)
ShadowSSDT: 主要处理,user32.dll,GDI32.dll中调用的函数,如postMessage,SendMessage,FindWindow,主要在win32k.sys中实现.(微软未给出win32k代码)
导入地址表钩子(import Address table hooking)。
当应用程序使用另一个库中的函数时,必须导入该函数的地址。都是通过IAT来实现的。
应用程序文件系统映像的IMAGE_IMPORT_DESCRIPTOR结构,它包含导入函数的DLL名称,和两个IMAGE_IMPROT_BY_NAME数组指针,它包含了导入函数的名称。这种方式对于显示调用DLL无效。
内联函数钩子
在实现内联函数钩子时,实际上是重写目标函数的代码字节, 所以无论目标进程如何或何时解析函数地址,都能够勾住函数。
看下消息钩子栏,大部分是360干的;360chrome.exe这个是什么,应该是我用的360极速浏览器;

6 查看内核

可看到MBR信息;

什么是MBR,见;

http://blog.csdn.net/bcbobo21cn/article/details/51171472

看下过滤驱动;

过滤是在不影响上层和下层接口的情况下,在Windows系统内核中加入新的层,从而不需要修改上层的软件或者下层的真实驱动程序,就加入了新的功能。

为什么有这么多过滤驱动;多数是微软自己干的;谁能解释下?

7 启动项

8 系统设置界面

系统设置,软件设置,程序员选项,进程和线程的杀死方式设置等;
forbid是禁止的意思;系统设置里可以禁止很多事情;

64位win7 冰刃下载:文件名是Win64AST_1.10_PortableSoft

http://pan.baidu.com/s/1skZx4TZ

冰刃初步使用图解(Win7 64位)相关推荐

  1. mysql下载64位 win7安装_图解Win7 64位系统安装MySQL 5.5.21

    1 首先单击MySQL5.5.21的安装文件,出现该数据库的安装向导界面,单击"next"继续安装,如下图所示: 2 在打开的窗口中,选择接受安装协议,单击"next&q ...

  2. 一键u盘装系统ghost win7 64位教程

    U盘装机大师一键安装win7 64位系统教程 现今,人们对于电脑的需求已经到了密不可分的地步.不仅是在生活上,工作上依旧离不来电脑的使用,但是还是有很多朋友对电脑维修或维护一窍不通.如果电脑突然崩溃了 ...

  3. win7 64位纯净版安装教程

    U盘装机大师重装win7 64位纯净版教程 win7系统重装是许多用户非常想知道的一个教程.win7系统是XP之后使用率最高的系统,用的人多了,也就有更多的人要重装系统,对于这些想重装却不知道如何操作 ...

  4. 安装安全软件测试系统卡慢,【已解决】win7 64位的系统,SSD的硬盘,360安全卫士检测出来的启动中,系统核心启动项目,时间太长...

    [问题] Win7 x64的系统. Intel I3+6G内存+SSD的硬盘. 之前系统一直用的好好的,一般启动,也就10秒前后. 后来不知道何时,系统启动速度变慢了,变成2分钟前后的了. 但是一直就 ...

  5. win7 64安装oracle10g 客户端,关于win7 64位 只 安装 oracle 10g的client

    我的电脑是win7 64位旗舰版 我下载了  10201_client_win32 和 102010_win64_x64_client 安装的时候 路径 不要 默认安装到program files 因 ...

  6. Win7 64位系统 注册 ocx控件

    32位系统注册ocx就不谈了.网上一搜一大把.下面说下win7 64位 旗舰版下如果注册ocx控件 1.首先复制 XXXX.OCX文件到"C:\Windows\SysWOW64"目 ...

  7. Win7 64位系统XMind环境配置

    2019独角兽企业重金招聘Python工程师标准>>> 首先是软件安装过程,打开安装图标点击下一步即可完成.Java环境配置主要是"环境变量"的设置,如下: 在[ ...

  8. win7 64位 安装java jdk1.8 ,修改配置环境变量

    下载jdk1.8,下载地址:http://www.wmzhe.com/soft-30118.html 安装时有两个程序,都安装在同一个目录下.   win7 64位 安装java jdk1.8 ,修改 ...

  9. 计算机未识别网络什么意思,win7 64位系统提示当前连接到未识别的网络怎么办...

    win7系统用户如果想要更好的操作使用电脑,就必须电脑连上网络.不过有笔记本Win7系统用户反映电脑进行本地连接后,系统桌面任务栏右下角却弹出"当前连接到未识别的网络"的提示,其实 ...

最新文章

  1. linux的网络命令整理 更新中
  2. 使用Duilib做桌面应用总结
  3. java的引用传递_Java的值传递和引用传递
  4. zigbee与WiFi模块和蓝牙模块的区别是什么?
  5. mysql 默认page大小_Innodb优化之修改页大小
  6. 七、JVM类加载机制
  7. 业余无线电通信_业余电台操作证书查询方式
  8. 招财宝计算器android,招财宝收益计算器
  9. 初级电工技术实训考核装置
  10. ❤️ 工厂模式:教你如何制造一台Huawei P50手机 ❤️
  11. linux fstab错误无法启动,Linux 系统 fstab错误导致系统无法启动的修复
  12. 数据库中,DDL,DQL,DML,DCL是什么意思?
  13. 标识符---概述及组成规则
  14. noip2014 生活大爆炸版 石头剪刀布 (模拟)
  15. selenium+python设置爬虫代理IP
  16. 防止表单重复提交的解决方案
  17. Java解一元一次方程,一元二次方程,一元三次方程
  18. css3 图片裁剪菱形,利用CSS3 clip-path裁剪各种图形。
  19. 201901 寄语南开师生
  20. Box2d源码学习十二b2Collision之碰撞(上)公共部分的实现

热门文章

  1. 电脑安全注意事项_别墅装修设计注意事项 别墅装修的陷阱有哪些
  2. AJAX ||JQeury实现方式||原生的JS实现方式(了解)
  3. Java的知识点27——打印子孙级目录和文件的名称、统计文件夹的大小、编码与解码的应用
  4. 移动端也能兼容的web页面制作1:MDBootstrap演示Demo运行演示
  5. stm32之端口复用和重映射
  6. 第八周实践项目6 猴子选大王(数组版)
  7. setdiff--求两个集合的差
  8. bitand( ) 函数用法
  9. ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/tmp/mysql.sock' (2)
  10. sublime text 3设置快捷键让html文件在浏览器打开