xuetr

如果您對windows系統不甚熟悉.，您還是不要使用本工具，即使要使用，也不要用本工具胡亂操作。 ^[1] 

2008年12月發佈於卡飯論壇

由於XueTr已經具備基本需要功能，已經減少更新次數和頻率。

注意：由於XT要深入系統底層並加載驅動，部分殺毒軟件可能會報毒，如有報警請選擇放過；請不要新老版本同時使用，否則會導致使用問題，如部分功能不顯示（白板）等。

Help In English：

XueTr is a free anti-virus&rootkit utility. It offers you the ability to detect, analyze and fix various kernel structure modifications and gives you a wide scope of the kernel.With its help,you can easily spot and remove malwares hidden from normal software.

XueTr currently supports the following Windows 32-bit versions:

Windows 2000 SP4

Windows XP (no SP,SP1, SP2, SP3)

Windows Server 2003 (no SP,SP1,SP2,R2)

Windows Vista (no SP,SP1,SP2)

Windows Server 2008 (no SP,SP1)

Windows 7

linxer保留所有權利。

本授權協議（以下簡稱 “本協議”）適用於linxer研發的XueTr（以下簡稱 “本軟件”）。

在您閲讀本協議後若不同意此協議中的任何條款，或對本協議存在質疑，請立刻停止使用本軟件。您一旦開始安裝或使用本軟件，則表示您已閲讀並同意本協議的所有條款之約定。協議許可範圍以外的行為，將直接違反本授權協議並構成侵權，作者有權隨時終止授權，責令停止損害，並保留追究相關責任的權力。

一、協議許可的權利

1、您可以在完全遵守本最終用户授權協議的基礎上，將本軟件應用於非商業用途，而不必支付軟件版權授權費用。

2、在保證本軟件完整性的前提下，您可以自由的分發、散播、使用本軟件，但必須不以盈利為目的。

3、您享有反映和提出意見的權力，相關意見將被作為首要考慮，但沒有一定被採納的承諾或保證。

二、協議規定的約束和限制

1、未獲商業授權之前，不得將本軟件用於商業用途。申請商業授權請來函至作者郵箱

2、禁止對本軟件進行全部或部分地翻譯、分解、反向編譯、反彙編等反向工程。

3、不得對本軟件或與之關聯的商業授權進行出租、出售、抵押或發放子許可證。

4、禁止把本軟件用於不利於社會和諧的場合，比如破解網吧收費系統等。

三、有限擔保和免責聲明

1、本軟件及所附帶的文件是作為不提供任何明確的或隱含的賠償或擔保的形式提供的。

2、作者不保證本軟件的所有功能都能正常工作。

3、用户使用本軟件，必須瞭解使用本軟件的風險。無論遵循本協議與否，作者在任何情況下均不會因使用或不能使用本軟件而發生的任何損失（包括但不限於電腦系統損壞、文檔、數據流失、業務中斷或其他經濟損失）承擔任何直接、間接、附帶、衍生或懲罰性的賠償責任，即使已通知作者有可能發生該損失的亦是如此。

linxer 版權所有

CopyRight 2008-2011 linxer, All Rights Reserved

1.到官網指定鏈接下載XueTr最新版本

2.解壓文件，閲讀使用説明

3.此工具將加載驅動XueTr.sys，不加驅動會導致大部分功能不能使用，如果有攔截請通過

4.如檢測到線程注入XueTr將會出現提示窗口，確定後才可以打開主界面進行操作

5.切勿隨意使用，否則可能導致系統問題

免責聲明：

基於以下原因，由本工具直接或者間接導致的問題，本人概不負責：

1.本人水平很菜，尤其是windows內核方面，最多隻能算個初學者，附屬品

2.由於本人是windows內核初學者，為了在內核寫更多的代碼，以提高本人水平，本人把儘量多的代碼寫在了內核層

3.因為比較忙，雖然本人在各系統裏(2000/xp/2003/vista/2008)經過了仔細的測試，但還是難免有疏忽的地方

1.進程、線程、進程模塊、進程窗口、進程內存信息查看，熱鍵信息查看，殺進程、殺線程、卸載模塊等功能

2.內核驅動模塊查看，支持內核驅動模塊的內存拷貝

3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、IDT信息查看，並能檢測和恢復ssdt hook和inline hook

4.CreateProces、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看，並支持對這些Notify Routne的刪除

5.端口信息查看，不支持2000系統

6.查看消息鈎子

7.內核模的i、eat、inlnehook、patches檢測和恢復

8.磁盤、卷、鍵盤、網絡層等過濾驅動檢測，並支持刪除

9.註冊表編輯

10.進程iat、e.t、inline ok、pache檢測和恢復

11.文件系統查看，支持基本的文件操作

12.查看（編輯）IE插件、SPI、啓動項、服務、Host文件、映像劫持、文件關聯

13.ObjectType Hook檢測和恢復

14.DPC定時器檢測和刪除

15.MBR Rootkit檢測和修復

16.內核對象劫持檢測

17.WorkerThread枚舉

配置工具：禁止創建線程、進程、文件、註冊表值、加載模塊、注入消息鈎子、禁止待機、註銷、關機、重啓、修改系統時間、切換桌面、鎖定計算機、重置註冊表值、加載驅動

關機：強制重啓/更為暴力的強制重啓

其他：窗口置頂

1.驅動檢測到的可疑對象，隱藏服務、進程、被掛鈎函數 → 紅色

2.文件廠商是微軟的 → 黑色

3.文件廠商非微軟的 → 藍色

4.如果您效驗了所有簽名,對沒有簽名的模塊行 → 粉紅色

5.進程標籤下,當下方使用模塊窗口時,對文件廠商是微軟的進程,會檢測其所有模塊,如果有模塊是非微軟的 → 土黃色

XT配置文件是從0.31版本開始引入的，它可以控制一些XT的檢測行為。這個文件必須和XT主程序一樣的名字，且後綴名必須為.config，比如如果XT的主程序名字是XueTr.exe則配置文件必須為XueTr.config，如果XT的主程序名為KillVirusTool.exe則配置文件必須為KillVirusTool.config。

配置文件採用分號做註釋，一行中分號後的內容將被XT直接忽略。

1、SelfProtection字段：決定是否開啓自我保護，設置成0表示關閉自我保護功能，設置成3表示開啓全部自我保護，設置成2表示只開啓窗口保護(Shadow SSDT上的保護)，設置成1表示開啓SSDT上的保護。如果沒有什麼特殊要求，建議您不要開啓自我保護，尤其一些遊戲玩家。因為自我保護會Hook系統內核某些函數，一些遊戲保護軟件檢測到這些函數被Hook，會立即重啓系統......

2、StayOnTop字段：決定XT啓動的時候是否窗口置頂，設置成0表示不置頂，設置成1表示置頂。

3、OpenPhysicalDiskAnalysis字段：決定枚舉文件的時候是否使用物理磁盤分析，設置成0表示不是用物理磁盤分析，設置成1表示使用物理磁盤分析。

4、CheckInjectThread字段：決定XT啓動的時候是否檢測有線程注入到XT中，設置成0表示不檢測，設置成1表示檢測。

5、ScanSuspiciousObject字段：決定XT枚舉驅動模塊的時候是否掃描可疑驅動對象，設置成0表示不掃描可疑驅動對象，設置1表示掃描可疑驅動對象。

6、TitleName字段：決定XT主窗口的標題，這裏可以設置成你想顯示的標題，如果您註釋掉本字段，XT會設置成隨機窗口標題。

7、AddRegPath字段：這個字段您可以添加多個，在這裏添加的註冊表路徑會自動添加到XT註冊表部分的快捷下來框中，方便您直接定位。

2012-10-22 XueTr-火眼合作版本:

1.加入了上傳文件到金山火眼分析，並查看火眼分析結果的功能

2011-12-03 V0.45版本:

1.修正Win7上枚舉Object Hook的時候一個潛在程序崩潰Bug(感謝曲中求等朋友的指出)

2011-11-09 V0.44版本:

1.加入導出所有日誌功能(電腦體檢)

2.在關於里加入了一個“愛心捐贈”信息(被某人説成行乞)

3.修正對象劫持檢測部分對DR0下層設備的一個誤報(感謝dl123100多次反饋，反饋了N次我都沒改，不好意思)

4.修正了FC、XueTr羣裏以及卡飯網友反饋的一些Bug，再次表示感謝

2011-09-17 V0.43B版本:

1.修正0.43版本引入的一個可能導致少數機器死機的Bug

2011-09-12 V0.43版本:

1.修正端口枚舉顯示的一個Bug

2011-08-30 V0.42版本:

1.修正asm大牛反饋的一個枚舉進程模塊的Bug(由於更換DDK到7600版本，有個變量沒及時變換導致)

2.處理了下這幾天比較火的ZeroAccess Rootkit,避免XueTr被ZeroAcess惡意結束(我未分析這個病毒,感謝dl123100的分析並告知分析結果)

2011-06-25 V0.41版本:

1.新增對WinIO的檢測(內核→直接IO)

2.修正一個驅動邏輯上的Bug(感謝莫灰灰同學)

2.修正一個藍屏(感謝dl123100、jackozoo等同學的反饋)

2011-06-06 V0.40端午節版本:

1.修正Win7 SP1端口枚舉的Bug

2.處理文件畸形路徑(包含對./..目錄以及RLO路徑的處理)

3.修正NTFS流文件枚舉上的Bug(請開啓物理磁盤分析功能)

4.修正驅動上的Bug(感謝dl123100、KiDebug等人直接或者間接意見)

5.修改了卸載驅動時的提示,卸載驅動是很危險的,請不要輕易嘗試

2011-03-02 V0.39(本版dl123100提供了很多建議，不過由於某些原因很多都沒有改，在此表示歉意，最.近人懶了):

1.支持Win7 SP1，本還想支持WinPE系統，發現不好搞由於拉倒了

2.增加內核鈎子掃描

3.增加Object Hook掃描

4.增加啓動項枚舉

2010-11-30 吾愛破解專版:

1.新增WorkerThread枚舉，主要為了對付一些TDSS病毒(感謝dl123100指點思路)

2.新增一個XueTr使用幫助手冊

3.修正一處LSP和安全模式修復功能的Bug

2010-10-01 0.37版本:

1.新增鼠標驅動Irp Hook檢測

2.新增KeUserModeCallback函數使用的用户態_apfnDispatch函數數組Hook檢測

3.新增LSP和安全模式修復功能

4.註冊表部分新增查找隱藏項功能,並修正了註冊表查找不好使Bug

5.修正幾處Bug(感謝dl123100、JuncoJet等朋友的指出，由於在火車上無法一一列名致謝,抱歉)

2010-07-16 0.36版本:

1.增加GDT上調用門檢測(內核標籤的GDT項)

2.增加對TDSS病毒的DeviceObject、DriverObject對象劫持檢測(內核標籤的對象劫持項)

3.修復上個版本引入的一個可能導致Vista以上系統藍屏的Bug(感謝dl123100的指出和幫助)

2010-07-07(又是一年7.7) 0.35版本:(本版本只是一個臨時版本，修正上一個版本的一些Bug，有人已經在我Blog發飆了，抱歉)

1.去掉了XT啓動時廣為詬病的MBR檢測，改到系統雜項部分自己點檢測按鈕檢測

2.修正數字簽名泄露內存Bug

3.修正Win7下禁止創建註冊表鍵值的一個可能導致藍屏Bug(感謝dl123100的指出和詳盡分析)

4.修改了驅動通信加密算法，並用VMP加密了這部分代碼，由於程序被加殼，可能導致少數AV報警

2010-05-16 0.34版本:

1.最.近MBR病毒增多，因此添加了MBR Rootkit的檢查(時間有限，有些地方沒處理，不過檢查StonedBootkit、Mebroot、鬼影還是沒問題的)

2.早段時間IME劫持病毒氾濫，因此本版本加入了對IME的枚舉

3.Classpnp\Atapi\Acpi Irp Hook枚舉

4.針對流行的改IPSec和在桌面上建立無法刪除IE圖標的病毒，已把這兩個註冊表路徑加入到註冊表的快捷定位框(沒興趣自動過濾白名單檢查，只能靠大家自己分析了)。

5.修復幾處Bug

2010-04-01 0.33版本：

1.新增進程定時器和熱鍵枚舉

2.看有少數病毒修改系統防火牆規則，因此添加了對系統防火牆規則的顯示

3.修正幾處Bug(感謝紫色秋楓、dl123100等朋友指出)

2009-12-20 0.32版本：

1.修正一處藍屏(感謝dl123100指出)

2.修正一處對FAT分區..目錄刪除的失誤(其實沒修正,就是屏蔽不讓刪除..目錄了，懶惰了，不想更新了)

2009-12-13 0.31版本:(截止到這個版本,除了日誌輸入,我想大家在殺病毒方面需求比較多的功能都加入了，因此這個工具也就告一段落了)

1.修正幾個Bug

2.新增對常用文件關聯的檢測

3.新弄了個配置文件(詳見配置文件，也可以把這個文件刪除了)

2009-11-22 0.30版本:

1.修正兩處藍屏

2.加入顏色區別(進程部分，只有下方顯示模塊時候才會顏色區別有模塊注入的微軟進程)

2009-10-08 0.29版本:

1.新增對Win7(BuildNumber 7600)的支持

2.新增禁止切換桌面功能

3.新增禁止鎖定計算機功能(測試發現Hook NtUserLockWorkStation不好用,沒時間搞了)

4.Notify Routine中新增BugCheckCallback顯示、移除功能

5.增強了Kernel Hook的處理(少數機器上會有誤報,主要是當前值全是0的項,懶得去掉了,沒時間弄了)

2009-07-07(七七事變) 0.28版本:

1.新增對IE右鍵菜單的操作

2.新增禁止修改系統時間功能

3.Notify Routine中新增CmpCallback顯示、移除功能

4.修正一處Hive解析Bug(dl123100指出)

5.修正一處啓動項枚舉不全Bug(dl123100指出)

2009-05-28(端午節) 0.27版本:

1.支持vista sp2和win2008 sp2

2.修正無法枚舉內嵌NULL字符註冊表鍵Bug(感謝dl123100指出)

3.修正應用程序鈎子掃描中,序號導出函數序號顯示錯誤Bug(感謝海風月影指出)

4.本版還改了兩個小地方，另外也暫時實現了深山紅葉建議中的2~3個，再此表示感謝!

5.修正無法強制刪除exfat分區文件Bug(感謝pluto1313指出)

2009-04-27 0.26版本:

1.修正少數機器上提示"內存不足"Bug

2009-04-25 0.25版本:

1.解決有少數系統上無法加載驅動Bug

2.加入強制重啓

3.支持安全模式

2009-04-10 0.24版本:

1.新增DPC定時器檢測

2.新增全局模塊卸載功能

3.豐富一些右鍵菜單

4.內核模塊加入“加載順序”顯示

5.增強SSDT、Shadow SSDT、FSD、IDT、ObjectType Hook函數所在模塊的查找能力

6.加入一個查看重啓刪除功能(文件部分樹形空間右鍵菜單)

7.文件部分加入是否常規屬性顯示,新增"去掉系統、只讀、隱藏屬性"功能

8.修正FAT32磁盤分析的一個Bug

9.修正xp無補丁版本Shadow SSDT無法顯示Bug

10.還有若干小改動，不表

2009-03-22 0.23版本：

1.消息鈎子部分加入了線程Id和模塊名的顯示

2.端口部分對遠程端口支持顯示IP所在地(需要在XT所在目錄下放置一個QQWry.dat文件,目.前僅僅在簡體中文操作系統上有這個功能)

3.加強了文件搜索功能

4.禁止創建註冊表部分加入了對ring3導入Hive改註冊表的防禦

5.修正了一個驅動Bug

2009-03-15 0.22版本：(由於大家希望XueTr能有個中文名，我也不知道該叫什麼，就取XT兩個字母的中文發音"叉踢"，記作“XT”)

1.XueTr界面語言開始支持繁體中文,在繁體系統自動顯示繁體界面

2.文件部分增加搜索文件功能(樹形空間右鍵菜單)

3.修正啓動項userinit.exe文件廠商空白Bug(感謝qdk2000和dl123100指出)

4.修正Object鈎子中"僅顯示掛鈎函數"功能無法正常顯示Bug(感謝十二羽翼指出)

5.修正服務中無法刪除服務殘留註冊表信息Bug(感謝曲中求指出)

2009-03-01 0.21版本：

1.修正SPI名字少一個字母Bug(感謝dl123100指出)

2.修正檢測到可疑驅動對象會顯示服務名Bug(感謝dl123100和曲版指出)

3.修正數字簽名把smss.exe檢測為沒有簽名bug(感謝qdk2000指出)

4.幾個窗口可以最大化了

5.支持進程和dll模塊分上、下兩層同時顯示(在進程部分右鍵點"在下方顯示模塊窗口")

6.修正xueTr清除ppxx回調時程序假死Bug

7.新增禁止創建註冊表鍵(值)

8.新增刪除文件時候佔坑功能

9.新增查看文件鎖定情況功能

2009-02-16 0.20版本：

1.支持windows 7(由於win7還處於beta階段,我也不知道它的確切Build號,現.在默認大於6900是win7,目.前程序可以在Build:7000的系統上正常運行)

2.加入數字簽名，進程部分右鍵菜單→查找沒有數字簽名的模塊，會掃描系統中所有進程的模塊

3.線程部分也有點改動，加了線程入口所在模塊

4.防了消息鈎子模塊對XueTr的注入(可能會導致一些美化的系統中，XueTr的界面變醜，暫時不想處理這個問題了)，另無法防止App_Inits模塊的注入，這個不想加了(加這個需要大改動，以後有時間會考慮)

5.對抗偽進程Id

6.XueTr啓動的時候，會檢測是否有線程注入到XueTr，並給出提示

7.內核模塊部分，對有對應服務的，顯示的時候會顯示出其服務名

8.還修改了幾個Bug，不表

2009-02-05 0.19版本：

1.新支持對exFAT文件系統的解析

2.新增了結束進程時候刪除進程文件

3.對一些有文件全路徑的地方，增添了文件廠商屬性

2009-02-02 0.18版本：(本版更新純是為了解決系統掛機Bug而臨時升級的一個版本)

1.增強了啓動項檢測

2.進程部分右鍵菜單增加了查找進程模塊功能

3.解決了內核模塊檢測部分的誤報可疑驅動對象Bug(感謝dl123100指出)

4.解決了程序非正常結束，下一次啓動系統死掉Bug(感謝dl123100和angel13th指出)

2009-01-30 0.17版本：

1.增加了卸載消息鈎子

2.增加了枚舉窗口，和對窗口的操作

3.增加了禁止待機、註銷、關機和重啓功能

2009-01-26 0.16版本：

1.界面語言自適應(在中文操作系統上是中文,其它操作系統是英文)

2.註冊表部分引入了Hive分析,默認是不開啓,如果要使用可以用"使用Hive分析"菜單,選擇了這個就不會用驅動獲取註冊表了

3.加了自我保護

4.增加禁止創建進程、線程、文件以及禁止加載模塊和消息鈎子模塊注入功能

5.改了幾個界面的小問題,我的界面寫作能力很菜,不表了

6.還增強了下內核模塊鈎子檢測(還有提升空間,不想搞了)

2009-01-17 0.15版本：

1.進程部分,加入了掛起、恢復進程(線程)功能

2.文件部分加入了NTFS、FAT32、FAT16文件磁盤解析,本功能默認開啓,可以用"開啓物理磁盤分析"菜單關閉

2009-01-06 0.14版本：

1.新增ObjectType Hook檢測功能(這個功能的實現參考了sudami寫的文章,感激)

2.修正無法列舉移動存儲介質(U盤等)裏的文件bug(感謝annybaby指出)

3.修正File和Rigister顯示界面,當多次最小化最大化後,樹形控件寬度逐漸變窄bug(感謝li58指出)

2009-01-02 0.13版本：

1.調整界面

2.新增操作IE插件、SPI、啓動項、服務、映像劫持、Host文件等功能

3.修正一處filter顯示bug(感謝dl123100指出)

2008-12-22 0.12版本：

1.解決在裝有微點機器下全是白板的問題

2008-12-11 0.11版本：

1.修正有些機器全是白板問題

2011-12-03 0.45B版本：

加入導出所有日誌

由XT創作者發佈，測試病毒為磁碟機

運行磁碟機病毒，1分鐘後，運行XueTr，提示有線程注入到XueTr了，對這種提示您一定要小心了，您的系統可能有問題了（重點是幹掉這個線程），磁碟機病毒會往每個進程裏注入dnsq.dll模塊，要安全卸載這個模塊，初步需要注意兩點：

1.這個模塊是否啓動線程

2.這個模塊是否掛鈎子

磁碟機病毒模塊很明顯會啓動線程(暫時稱為”注入“線程)，你要把它結束掉，或者把這些注入的線程暫停了，由於磁碟機病毒會在自己線程被結束後，重啓一個線程，因此這裏選擇暫停這些線程（另外一個常識就是：XueTr工具一般只有一個線程），而且你每次看線程的時候，線程狀態為”正在運行“的那個線程就是XueTr的工作線程，其它的線程都可以幹掉（由於我不太清楚磁碟機病毒的線程注入原理，因此對這種線程注入不知道咋防）

暫停這些線程，然後掃描XueTr的鈎子(鈎子→應用層鈎子，我可以很自豪的説，XueTr目.前提供了比較強大的應用層鈎子檢測能力)

很明顯磁碟機病毒掛了OpenProcess和EnumProcessModules兩個函數，右鍵恢復它們倆，

OK，現.在您可以去安全的卸載注.入到XueTr中的dnsq.dll了

到此為止，dnsq.dll已經被安全的卸載，XueTr的各項功能不受影響。卸載其它進程裏的模塊，大致過程也是這樣的。

另：XueTr新版已經具備一定的容錯能力，您即使不恢復那兩個鈎子，程序也不會崩潰了，只是進程部分功能不好使。

更多使用教程請參考Xuetr使用手冊

1、進程標籤頁，右鍵，菜單中有個"在下方顯示模塊窗口"。

勾選後不用再單獨打開個窗口查看模塊了，選擇一個進程，窗口下方馬上顯示模塊。

2、右鍵進程，有個"查看句"柄選項，可按句柄來操作進程相關資源。

3、右鍵進程，有個"查看..."，裏邊有個"進程窗口"，再右鍵狀態為"可見"的選項，選擇"顯示窗口"，就能看到對應的窗口頁面。

喜歡破解軟件的朋友，不用再為可見的窗口跟蹤彙編代碼了。

4、右鍵進程，有兩個選項，一個是"在線搜索進程名"，點進去之後，會直接在Google進行搜索。還有一個是"在線分析"，很好的功能，點進去之後，會到virscan查毒網站，提交文件，網站會提供36種殺毒軟件為你查毒。

5、算是建議吧。內核模塊最好不要動，內核模塊要是不用卸載代碼卸載(寫內核驅動的時候，會寫一段卸載函數代碼)，很多時候會藍屏哦！

6、標籤"網絡" - "IE插件" And "IE右鍵菜單"，系統優化的時候常常能用到。

7、標籤"註冊表"，最下方提供了常用的註冊表地址，不用再一個一個標籤去點開了，很多都在裏面了。

8、標籤"文件"，強制刪除的功能估計用過的人都見識過了，驅動級的刪除很牛很強大。還有一個功能是"查看鎖定情況"，通過這個功能就能知道，這個文件夾有幾個進程涉及到了，不錯吧。

9、啓動項標籤頁，最新版會顯示更詳盡的啓動信息，包括被註釋掉的啓動項。

10、系統雜項，"文件關聯"，可以通過右鍵修復系統默認的關聯。

11、系統雜項，"映像劫持"功能。

以前到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 才能分析的內容，現.在直接就提供了劫持分析功能。

12、還有一個很好的，"系統防火牆規則"。剛裝完系統，比方説用個QQ什麼的，防火牆肯定會蹦出來，這個標籤頁能讓你看到防火牆的狀態，用於方便修改防火牆規則。

13、"雜項"，一看就能明白，提供了很多解鎖功能。MBR檢測功能也移到這裏來了。

14、標籤"本工具配置"，增加了"窗口置頂"選項，哈哈。估計作者也體驗過殺毒的時候不能激活頁面的痛苦。

15、最後，"本工具配置"裏面的禁止功能非常強大，強大到連繫統也得聽他的。不小心殺掉系統重要進程會出現倒計時重啓頁面，彆着急，直接把這個標籤頁的“禁止待機、註銷、關機、重啓“選項選中，系統就無法重啓了。

詳細説出XueTr的各項右鍵菜單，可以比較清楚的看出XueTr對各項的操作

進程：刷新| 查看進程模塊、查看進程線程、查看進程句柄、查看進程窗口、查看進程內存、查看進程定時器、查看進程熱鍵|在下方顯示模塊窗口|在進程中查找模塊、在進程中查找沒有數字簽名模塊| 結束進程、強制結束進程、結束進程並刪除文件、強制結束進程並刪除文件|校驗數字簽名、校驗所有數字簽名| 暫停進行運行、恢復進程運行 複製進程名、複製進程路徑|在線搜索進程名、在線分析|定位到進程文件、查看進程文件屬性|定位到XT文件管理器| 導出

內核模塊：刷新| 拷貝模塊內存|刪除驅動（文件）、刪除驅動（文件和註冊表）| 卸載驅動|校驗數字簽名、校驗所以數字簽名|僅顯示已加載驅動|複製驅動名、複製驅動路徑|在線搜索驅動名、在線分析|定位到驅動文件、查看驅動文件屬性|定位到註冊表、定位到XT文件管理器|導出

鈎子：刷新|僅顯示掛鈎函數|定位到模塊文件、查看模塊屬性|定位到XT文件管理器|導出

系統回調：刷新|刪除|定位到XT文件管理器|導出

網絡（有多個小項，第一項已有功能下面不再説）：

端口：刷新|定位到XT文件管理器|導出

Tcpip：恢復、恢復所有|定位到模塊文件、查看模塊屬性

IE插件：刪除（文件）、刪除（註冊表和文件）|校驗數字簽名|複製插件名、複製插件路徑|在線搜索插件名、在線分析

過濾驅動：刷新|刪除|定位到XT文件管理器|導出

註冊表：刷新|刪除、重命名|查找、查找下一項|導出|複製項名稱|新建（項、字符串值、二進制值、DWORD值、多字符串值、可擴充字符串值）|使用Hive分析

文件：刷新|查看鎖定情況|刪除、強制刪除、刪除後阻止文件再生|添加到重啓刪除、重啓替換|重命名、拷貝|複製文件名、複製文件路徑|校驗數字簽名|去掉只讀、隱藏和系統屬性|開啓物理磁盤分析、關閉物理磁盤分析|搜索文件|查看文件重啓刪除信息

啓動項：刷新|刪除（啓動信息）、刪除（啓動信息和文件）|、校驗數字簽名、校驗所有數字簽名|複製啓動項名、複製啓動項路徑|在線搜索啓動項、在線分析|定位到啓動文件、查看啓動文件屬性|定位到註冊表、定位到XT文件管理器|導出

服務：刷新|啓動、停止、暫停、恢復、重新啓動、刪除|自動、手動、禁用|校驗數字簽名、校驗服務動態鏈接庫數字簽名、校驗所有數字簽名|定位到映像文件、查看映像文件屬性|定位到服務動態鏈接庫文件、查看服務動態鏈接庫文件屬性|定位到註冊表、定位到XT文件管理器（ImagePath）、定位到XT文件管理器（ServiceDLL）|導出

DPC定時器：刷新|取消|定位到文件、查看文件屬性|定位到XT文件管理器導出

文件關聯：刷新|修復、修復所有|定位到註冊表|導出

映像劫持：刷新|刪除IFEO（註冊表）、刪除IFEO（註冊表和文件）|定位到劫持文件、查看劫持路徑屬性|定位到註冊表、定位到XT文件管理器|導出

系統防火牆規則：刷新|刪除Rule（註冊表）、刪除Rule（註冊表和文件）|定位到文件、查看文件屬性|定位到註冊表、定位到XT文件管理器|導出

Ime輸入法：刷新|刪除IME（註冊表）、刪除IME（註冊表和文件）|定位到IME文件、查看IME路徑屬性|定位到註冊表、IME Path到註冊表|導出

從上也可以看出，XueTr的功能非常豐富，包含了很多小軟件的功能，也可以更加方便地操作

1、為什麼XueTr有時候運行，全是空白？

請您確定您只開啓了一份XueTr，目.前在XueTr開啓一份後，再啓動XueTr將會全是空白。

請您確定您是否剛才運行了XueTr的舊版本，而為未重啓系統就運行了更新的版本(即新舊版本混合用情況)，這個時候會出現白板，建議您重啓系統運行新版，或者改名後運行新版本。

2、打開XueTr後藍屏，我該怎麼辦？

為了更穩妥的使用XueTr，強烈建議您的系統打微軟補丁後，要重啓系統再運行XueTr，雖然XueTr提供了一些對這種情況的識別，但還是可能有疏忽的地方。如果排除打補丁導致的藍屏後，XueTr使用過程中還藍屏，請您把minidump發到作者郵箱供作者分析。

3、為什麼64位系統無法加載驅動？

XueTr目.前只支持32位系統，不支持64位系統。

目.前已支持win7、win8 64位系統！

感謝angel13th、backway、dl123100、曲中求、tawny2008、wolfwalk888(字母序排列)卓有成效的測試(建議)，十分感激，沒齒難忘。 ^[1] 

Linxer大牛在XueTr源碼基礎上重新開發了PC Hunter，支持Win8和X64，本次更新新增了十幾處檢測。分為免費版和收費版。

於2013年1月24日發佈1.0免費版本。

在其微博上表示是購買了微軟數字簽名證書，並不是之前傳言的0day。

本工初步實現如下功能：

1.進程、線程、進程模塊、進程窗口、進程內存信息查看，殺進程、殺線程、卸載模塊等功能

2.內核驅動模塊查看，支持內核驅動模塊的內存拷貝

3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看，並能檢測和恢復ssdt hook和inline hook

4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看，並支持對這些Notify Routine的刪除

5.端口信息查看，目.前不支持2000系統

6.查看消息鈎子

7.內核模塊的iat、eat、inline hook、patches檢測和恢復

8.磁盤、卷、鍵盤、網絡層等過濾驅動檢測，並支持刪除

9.註冊表編輯

10.進程iat、eat、inline hook、patches檢測和恢復

11.文件系統查看，支持基本的文件操作

12.查看（編輯）IE插件、SPI、啓動項、服務、Host文件、映像劫持、文件關聯、系統防火牆規則、IME

13.ObjectType Hook檢測和恢復

14.DPC定時器檢測和刪除

15.MBR Rootkit檢測和修復

16.內核對象劫持檢測

17.WorkerThread枚舉

免費版更新列表：