PowerTool下载

http://pan.baidu.com/s/1skZx4TZ

PowerTool_1.6_PortableSoft.7z

1 系统检测

自动检测了如下安全项；

有个 流氓快捷方式 项

顽固桌面图标删不掉3种办法：
1、桌面上点鼠标右键-排列图标-运行桌面图标清理向导-选择要清理的图标-点下一步就可以了
2.如果有360安全卫士，可以尝试：
打开 360安全卫士——修复IE，全选，立即修复！
然后打开 360顽固木马专杀大全(百度搜索下载)，里面也有一个修复，
把里面的与 IE相关 的选项都打上勾，立即修复 即可！
做以上动作时请先将浏览器关闭
3、（如果系统里面没有桌面图标清理向导或清理了无效）建议使用windows清理助手有绿色版不用安装）扫描后，再用故障修复（全选）修复后,桌面上点鼠标右键刷新一遍再看桌面图标是不是没有了，如果无效建议安全模式下进行操作。

2 主引导记录

可备份主引导记录；

CLI禁止中断发生
STL允许中断发生
这两个指令只能在内核模式下执行

0x7C00是x86 PC操作系统启动的位置，

Why BIOS loads MBR into 0x7C00 in x86 ?总结一下原因有以下几点：

①      "0x7C00" First appeared in首次出现在IBM PC 5150 ROM BIOS INT 19h handler（中断处理程序的地址），IBM PC 5150 BIOS Developer Team决定使用这个地址的。
②      "0x7C00"这个数字属于BIOS 的规范范畴的
③      "0x7C00 = 32KiB - 1024B" 原因在于操作系统的需求和CPU内存布局

3 系统驱动

AGP440.SYS是显卡驱动的文件

amdsata.sys是安装AHCI 1.2所需要的一个驱动文件

AHCI（Serial ATA Advanced Host Controller Interface）串行ATA高级主控接口/高级主机控制器接口）

alilide.sys属于ALi mini IDE Driver 是正常驱动文件

4 进程管理

API HOOK技术是一种用于改变API执行结果的技术，Microsoft 自身也在Windows操作系统里面使用了这个技术，如Windows兼容模式等。 API HOOK 技术并不是计算机病毒专有技术，但是计算机病毒经常使用这个技术来达到隐藏自己的目的。

5 模块

vmware托盘进程里为什么会显示一个金山公司生产的DLL？真是奇怪；

参考：

http://drops.wooyun.org/news/15514

kbasesrv篡改主页分析

6 进程权限

在Winnt.h中定义了一些权限名称的宏，
#define     SE_BACKUP_NAME                   TEXT("SeBackupPrivilege")
#define     SE_RESTORE_NAME                 TEXT("SeRestorePrivilege")
#define     SE_SHUTDOWN_NAME               TEXT("SeShutdownPrivilege")
#define     SE_DEBUG_NAME                     TEXT("SeDebugPrivilege")

7 内核模块

200多个，好多啊；

8 内核回调

回调函数就是一个通过函数指针调用的函数。

你到一个商店买东西，刚好你要的东西没有货，于是你在店员那里留下了你的电话，过了几天店里有货了，店员就打了你的电话，然后你接到电话后就到店里去取了货。在这个例子里，你的电话号码就叫回调函数，你把电话留给店员就叫登记回调函数，店里后来有货了叫做触发了回调关联的事件，店员给你打电话叫做调用回调函数，你到店里去取货叫做响应回调事件。

9 钩子

10 消息钩子

11 重要的系统文件

可直接查看Hosts文件内容；

12 文件管理

13 注册表

14 启动项

15 网络连接

16 网络连接劫持

17 工具自带的dll

此工具自带一堆dll

18 过滤驱动

此栏共列出以下类型的过滤驱动：磁盘，文件，I8042prt，键盘，网络，未知；

过滤驱动：

过滤驱动就是挂载在其他驱动上，对某设备的irp进行拦截过滤作用，可以对设备进行功能扩展，或是数据加密等的驱动程序。

对于WDM框架的过滤程序来说共有两种：一种是高层过滤驱动程序；一种是低层过滤程序。

如果将过滤程序附在功能驱动（FDO）的下面，这样介于FDO和PDO之间的过滤驱动称为低层过滤驱动程序，一般记为Low FiDO。
如果被除在功能驱动（FDO）的上面，则称为上层过滤驱动程序，一般记为High FiDO。
在WMD框架中的过滤驱动可以相互嵌套，层层叠加，即上层过滤驱动程序之上可以再附加更高层的过滤驱动程序，同理低层过滤驱动程序可以被更低层的过滤驱动所过滤。

对每个驱动右击，可做如下操作；

看一下有四个网络类型的过滤驱动附加到了PnpManager的驱动上，过滤驱动的作者是微软自己；
分别是，
C:\Windows\system32\DRIVERS\blbdrive.sys
C:\Windows\system32\drivers\volmgr.sys

blbdrive.sys是什么？资料甚少，仅下页有所描述；
http://www.computerhope.com/cgi-bin/process.pl?p=blbdrive.sys
SM/MMC host controller file.
另外blddrive.sys也可能是病毒，尤其不在drivers目录；

volmgr.sys在此有个描述；
http://binarydb.com/file/volmgr.sys-9743.html
volmgr.sys belong to Terminal Server Mouse Driver module developed by Microsoft in the database contains 3 versions of the volmgr.sys signed file and file md5 is 103e84c95832d0ed93507997cc7b54e8.

干嘛要对PNP管理做过滤驱动呢？谁能解释下呢；

至于文件过滤驱动，是腾讯公司干的，附加到FltMgr；
C:\Windows\system32\drivers\TsQBDrv.sys
TsQBDrv.sys在此页有一个描述；
http://systemexplorer.net/file-database/file/tsqbdrv-sys/25961742
QQ浏览器为何要做文件过滤驱动呢？谁能解释一下；

看下键盘过滤驱动，都是微软自己干的；
C:\Windows\system32\DRIVERS\kbdclass.sys

http://file.bkjia.com/k/kbdclass.sys.html
kbdclass.sys是什么
kbdclass.sys 是存放在目录 C:\Windows\System32\drivers。 已知的 Windows 7/Vista/XP 文件大小为 24,576 字节 (占总出现比率 58% )，35,384 字节，42,576 字节 或 32,872 字节。 驱动程序可以在【控制面板-管理工具-服务】中开始或停止，或者由其他程序 所控制。 程序没有可视窗口。 这个服务没有详细注释。 这个文件是由 Microsoft 所签发。 这是个键盘驱动程序，它可以记下您的输入键。 这个不是 Windows 系统文件。 kbdclass.sys 似乎是被压缩过的文件 总结在技术上威胁的危险度是 25% 。
kbdclass.sys 也可能是恶意软件所伪装，尤其是当它们存在于 c:\windows 或 c:\windows\system32 目录。

还有一些未知类型的过滤驱动，针对的是ACPI；

看下，干了过滤驱动这个事情的单位有：微软，intel，Tencent;

图解使用PowerTool对Windows内核做初步研究探索相关推荐

1. 图解用工具对PE文件格式做初步研究

   工具: PETool,MiniHex,PEViewer 以本机notepad.exe为研究对象.本机64位,该notepad.exe是64位应用程序. 1 用peviewer打开 PE文件大体包括四部 ...

2. [转贴]Gloomy对Windows内核的分析(研究CreateProcess)

                         (转载)Gloomy对Windows内核的分析(研究CreateProcess) 我给出一个反汇编Win32 API函数CreateProcess的例子,来 ...

3. 图解用工具对BHO做初步研究

   一 BHO和浏览器劫持 BHO Browser Helper Objects (也被称为 BHOs) 是com组件,扮演着ie插件的角色.BHOs可以在某种程度上定制IE,如:用户交互的修改,网页过滤 ...

4. Windows内核开发初步

   环境配置并不复杂,只需要按照微软的要求装好VS2019和WDK,就可以在创建新项目中找到Driver.如果用的是Win11,可参考此文:驱动开发Windows11+VS2019环境配置 打开VS-&g ...

5. Windows内核系统调用分析

   系统调用 进程 --> 调用OS API:OS进程管理 --> 调配进程. 仅从用户进程角度,OS就像是一个被动响应的运行时库.Windows提供了一个系统调用界面作为外层,即Win32A ...

6. Windows内核执行体对象管理器的操作过程与分析

   我之前写过一个有关于对象管理的读书笔记.但是这篇文章与前面的不同,这是我个人对对象管理器到底是什么的一个分析,而且也是直接对WRK代码进行的阅读. 执行体对象即我们通常所言的内核对象,我们知道Wind ...

7. Windows内核新手上路1——挂钩SSDT

   Windows内核新手上路1--挂钩SSDT 这个系列记录学习我学习windows内核的点点滴滴,高手请直接无视. 文章核心内容:挂钩SSDT中函数列NtOpenProcess,NtDuplicate ...

8. Windows内核新手上路3——挂钩KeUserModeCallBack

   Windows内核新手上路3--挂钩KeUserModeCallBack 1.     简介 在Windows系统中,提供了几种方式从R0调用位于R3的函数,其中一种方式是KeUserModeCall ...

9. Windows内核 基本汇编指令

   1)用VS2010新建Win32 Console Application,工程名为ACECore,工程建立完成后得到打开文件ACECore.cpp,代码如下: #include "stdaf ...

最新文章

1. Google全球员工围攻Google！
2. blocked java线程_Java线程状态：BLOCKED与WAITING的区别
3. 【STM32】处理字符串时 \r\n、\r、\n 的区别
4. go消息服务器吗,Go语言聊天服务器
5. Service Mesh 从“趋势”走向“无聊”
6. Android AppWidgetProvider应用
7. 电脑技巧：如何开机进入纯净的Windows系统，看完你就会了！
8. python字符串类型_Python3的字符串类型（疯狂Python）
9. curl php 禁用ip6,CentOS 6禁用IPv6解决curl Couldn’t resolve host或dns解析慢
10. 个人计算机预防勒索病毒,Windows10如何开启预防勒索病毒功能|电脑安全开启防御勒索软件的方法...
11. DHCP服务器如何检测穿过中继代理的IP地址冲突（gratuitous ARP肯定是不行的）
12. 想加入一行代码吗？使用code标签
13. 多表查询过滤重复数据_数据分析工具SQL—多表查询
14. 驱动ST7789 240*240 TFT屏 制作分光棱镜显示要点总结(镜像后图片颜色R、B对调了，使用PS修改图片)
15. 配置本地yum源文件
16. 卸载计算机更新程序包,KB4343669更新包无法卸载的解决方案
17. netty案例，netty4.1中级拓展篇六《SpringBoot+Netty+Elasticsearch收集日志信息数据存储》
18. XQ6657Z35-EVM 的DSP + ZYNQ核心板，SRIO通讯
19. 项目初始化报 404 Not Found - GET https://registry.npmjs.org（转）
20. Linux的markdown笔记软件,Markdown工具满天飞，哪一款适合用印象笔记的你？

热门文章

1. python excel合并_Python把多个Excel合并成一个Excel
2. Use Asynchronous Apex
3. js如何判断一个对象是不是Array？
4. MySQL 语法问题：You can‘t specify target table ‘xxx‘ for update in FROM clause. 原因及解决方法
5. linux服务器oracle数据库导出dmp文件功能演示，备份数据库命令。exp命令显示command not found解决方法，EXP-00028: 无法打开dmp进行写入问题解决
6. leetcode C++ 28. 实现 strStr() 实现 strStr() 函数。 给定一个 haystack 字符串和一个 needle 字符串，在 haystack 字符串中找出 need
7. Java的一维数组和二维数组的关系
8. 第九周项目实践3 利用二叉树遍历思想解决问题
9. minAreaRect函数
10. Linux下mount FreeBSD分区