在翻出12年前用C#写的自我管理软件之后,进一步激发了本猫的怀旧情怀。
上一篇在此:
竟然无意间翻出12年前自己用C#写的程序
这不,昨天竟然又找出2010年写的一款Windows系统入侵检测及防御小工具,当时命名是:NtInfoGuy!
对于Windows的内部,本猫觉得有太多的东西需要了解,认知。
本猫非凡的、从不知足的探求本性驱使自己要拨开迷雾得见青天...
太多的木马,病毒,Rootkit隐藏在系统中,这需要我们去侦查、洞悉。对于一些系统程序员来说,了解当前NT系统的内部状态,信息同样也是相当有用和重要的。(反正当时本猫是这么想的)
虽然有不少这样的小工具, 但是它们都只是涉及到系统信息的各个不同子集。在这样一个背景下非常有必要(本猫YY的...)有一个可以查看NT系统完整状态信息的工具,于是NtInfoGuy应运而生了。
你是闲得蛋疼吗???
这个东东不是从石头中蹦出来的,却是从大熊猫脑海中逐渐浮现出来的。该工具采用控制台开发,当时觉得有精力的话可能会转成GUI的方式,不过现在看来估计永远也不会了...
我记得当时程序兼容的系统有:
Win2k(sp4),Winxp(sp3),Win2k3(sp2),Vista,Windows7(9年前啊!!!)NtInfoGuy全部由C加上少量汇编开发而成,当时使用C+汇编的感觉真是爽爆了!!!
下面是几张实际运行的截图:
NtInfoGuy已实现的功能我简单回忆了一下,有下面这些:
1 显示系统SSDT表,SSDT Shadow表并且尝试寻找可能的服务表项钩子,红色标示出了可能的钩子;
2 显示系统GDT表,并且显示各个表项的属性;
3 显示系统IDT表,并且显示各个门的属性;
4 显示当前系统加载模块的信息,并且可识别出windows可信任模块;
红字表示不受信任的模块或在磁盘上未找到的模块。
5 直接从内核中获取系统加载模块的信息,在DbgView中显示;
6 显示系统各个主要部件内核变量的值.
当然觉得这还远远不够,下面是本猫当时还准备添加的功能:
- 1 准备再添加Inline Hook的识别,以及将Hook还原的功能;
- 2 将内核地址对应到一个区域中,比如一个驱动,换页池,非换页池等;
- 3 显示指定位置内核代码的反汇编;
- 4 增加GUI,可能用SDK,也可能用VB,C#等等语言来写;
- 5 更加全面的内核变量的显示,目前只是显示了内存管理器的内核变量。
- 希望有兴趣的童鞋可以参与进来。如果你一直是单干的程序员,甚至不是专业的程序员,但对编程有狂热的兴趣,想感受结对编程的乐趣,请和熊猫偶联系。如果你不懂系统编程,但是界面设计很有一手也可以加入。这个工具只是一个雏形,希望可以有更成熟的表现。 (也是自我YY么???)
下面是9年前写的使用说明,可以看到当时伪装成入侵防御软件的木马病毒有多猖狂,人与人还得相互信任啊!!!
程序说明 :
- 1 首先熊猫以人格担保代码里无任何木马,病毒,RootKit等无聊东东;
- 2 我写的代码是NtInfoGuy.exe和NtInfoGuy.dll加起来不到60KB,其他2个Dll是微软官方的调试
- 以及符号服务库,在运行时是要使用的。如果你的系统中安装了新版的WinDbg,另外这两个Dll
- 可以使用WinDbg目录中的新版本。
- 3 程序需要加载驱动程序进入内核取得信息;
- 4 程序需要自动连接到微软官方符号网站下载内核的符号文件,否则某些内核符号不能获得WinDbg下载符号文件是同样的道理。
- 5 该程序可能有BUG、漏洞,可能会导致系统崩溃,请在非关键系统上运行。该程序带来的一切损失和熊猫无关哦。
- 6 关于该程序的更多信息请观赏 : http://blog.csdn.net/mydo/archive/2010/0/17/5742188.aspx
- 7 程序第一次运行时因为要下载NT符号文件可能比较慢,一旦符号下载完成,以后的运行都会很快.
我记得符号文件下载的位置就在程序当前路径的syms文件夹中,所以运行程序后会自动到微软调试服务器中下载调试符号文件,当时很多人以为是木马行为...人与人之间起码的相互信任呢???
当时本猫还煞有其事开源了,开源了,开源了!!!
不过当时可没有GitHub啊!!!
NtInfoGuy下载地址 :
http://hopy.bokee.com/inc/NtInfoGuy.7z
NtInfoGuy的源代码还可以到看雪下载:
http://bbs.pediy.com/showthread.php?t=117432
最后想想本猫十几年前的自己,再看看现在的自己,感叹肥了一圈不说,那种天不怕地不怕的冲劲也淡了不少,所以说:种一棵树最好是10年前,其次就是现在!
大家是否也这样认为呢?
感谢观赏 ;)
