XueTr

一個XueTr的簡易控制臺版本，功能及其簡單，使用也會很不方便，但還是能干一些事情的。沒有精力把這個東西做的比較精致，也沒太打算把它做的比較精致。

使用方法：

1.直接XueTrCmd.exe運行,這個會進入到一個循環中，這個循環里反復接收用戶輸入的命令，退出這個循環后，會自動卸載驅動程序。
2.XueTrCmd.exe帶參數運行，這個會執行具體的參數命令，程序退出時，不會卸載驅動程序。

具體命令說明：

1.usage
無參數，列舉當前可使用的所有命令情況
2.tasklist
無參數，枚舉進程
3.ps
和tasklist等效
4.lpm
兩個參數，第一個是十進制的進程id，第二個是十六進制的進程對象地址，本命令枚舉進程的模塊
5.fpm
兩個參數，第一個是十六進制的進程對象地址，第二個是十六進制的模塊基址，本命令卸載進程模塊
6.lpt
兩個參數，第一個是十進制的進程id，第二個是十六進制的進程對象地址，本命令枚舉進程的線程
7.kt
一個參數，參數為十六進制線程對象地址，本命令殺線程
8.fkt
一個參數，參數為十六進制線程對象地址，本命令強制殺線程
9.kp
一個參數，參數為十六進制進程對象地址，本命令殺進程
10.fkp
一個參數，參數為十六進制進程對象地址，本命令強制殺進程
11.qpsr
一個參數，參數為十六進制進程對象地址，本命令查詢進程的喚醒阻塞狀態
12.sp
一個參數，參數為十六進制進程對象地址，本命令阻塞進程
13.rp
一個參數，參數為十六進制進程對象地址，本命令喚醒阻塞的進程
14.qtsr
一個參數，參數為十六進制線程對象地址，本命令查詢線程的喚醒阻塞狀態
15.st
一個參數，參數為十六進制線程對象地址，本命令阻塞線程
16.rt
一個參數，參數為十六進制線程對象地址，本命令喚醒阻塞的線程
17.lph
兩個參數，第一個是十進制的進程id，第二個是十六進制的進程對象地址，本命令枚舉進程的句柄
18.cph
四個參數，第一個是十進制的進程id，第二個是十六進制的進程對象地址，第三個是十六進制的進程句柄，第四個是十六進制的進程句柄對象地址，本命令關閉進程句柄
19.fcph
四個參數，第一個是十進制的進程id，第二個是十六進制的進程對象地址，第三個是十六進制的進程句柄，第四個是十六進制的進程句柄對象地址，本命令強制關閉進程句柄
20.lw
無參數，本命令枚舉進程窗口
21.lpmemory
兩個參數，第一個是十進制的進程id，第二個是十六進制的進程對象地址，本命令枚舉進程的內存信息
22.fpmemory
四個參數，第一個是十進制的進程id，第二個是十六進制的進程對象地址，第三個是十六進制的進程內存地址，第四個是十六進制的內存大小，本命令釋放進程內存
23.lptimer
無參數，本命令枚舉進程定時器
24.cptimer
一個參數，參數為十六進制定時器對象地址
25.lphk
無參數，本命令枚舉進程熱鍵
26.cphk
一個參數，參數為十六進制熱鍵對象地址
27.lkm
無參數，本命令顯示內核模塊信息
28.fkm
兩個參數，第一個是十六進制的驅動對象地址，第二個是驅動服務名，兩個參數有一個有效就可以了，如果兩個有效優先使用驅動對象地址，本命令卸載驅動
29.ckmemory
三個參數，第一個是十六進制的模塊基址，第二個是要拷貝的字節大小，第三個是輸出文件名，本命令拷貝內核內存
30.ssdt
可以使用/all參數表示顯示所有，否則只顯示掛夠函數，本命令顯示SSDT
31.rssdt
一個參數，參數為十進制的SSDT函數索引，本命令恢復SSDT上的Hook
32.shadowssdt
可以使用/all參數表示顯示所有，否則只顯示掛夠函數，本命令顯示Shadow SSDT
33.rshadowssdt
一個參數，參數為十進制的Shadow SSDT函數索引，本命令恢復Shadow SSDT上的Hook
34.fsd
可以使用/all參數表示顯示所有，否則只顯示掛夠函數，本命令顯示FSD
35.rfsd
一個參數，參數為十進制的FSD函數索引，本命令恢復FSD上的Hook
36.tcpip
可以使用/all參數表示顯示所有，否則只顯示掛夠函數，本命令顯示TCPIP上的鉤子
37.rtcpip
一個參數，參數為十進制的TCPIP函數索引，本命令恢復TCPIP上的Hook
38.kbd
可以使用/all參數表示顯示所有，否則只顯示掛夠函數，本命令顯示Keyboard上的鉤子
39.rkbd
一個參數，參數為十進制的Keybaord函數索引，本命令恢復Keyboard上的Hook
40.idt
可以使用/all參數表示顯示所有，否則只顯示掛夠函數，本命令顯示IDT上的鉤子
41.objecttype
可以使用/all參數表示顯示所有，否則只顯示掛夠函數，本命令顯示ObjectType上的鉤子
42.robjecttype
兩個參數，第一個是十六進制的ObjectType對象地址，第二個是ObjectType里對應的函數名，本命令恢復ObjectType上的Hook
43.nr
無參數，本命令列舉Notify Routine
44.rnr
兩個參數，第一個是十六進制的Notify Routine入口函數地址，第二個是Notify Routine類型名，本命令刪除Notify Routine
45.port
無參數，本命令列舉端口信息
46.mbr
無參數，本命令檢查MBR Rootkit
47.classpnp
可以使用/all參數表示顯示所有，否則只顯示掛夠函數，本命令顯示classpnp上的鉤子
48.rclasspnp
可以使用/all參數表示顯示所有，否則只顯示掛夠函數，本命令顯示classpnp上的鉤子
49.atapi
可以使用/all參數表示顯示所有，否則只顯示掛夠函數，本命令顯示atapi上的鉤子
50.ratapi
可以使用/all參數表示顯示所有，否則只顯示掛夠函數，本命令顯示atapi上的鉤子
51.acpi
可以使用/all參數表示顯示所有，否則只顯示掛夠函數，本命令顯示acpi上的鉤子
52.racpi
可以使用/all參數表示顯示所有，否則只顯示掛夠函數，本命令顯示acpi上的鉤子
53.dpctimer
無參數，本命令顯示DPC定時器信息
54.rdpctimer
一個參數，參數為十六進制DPC定時器對象地址
55.filter
無參數，本命令枚舉Filter過濾驅動
56.rfilter
兩個參數，第一個是十六進制的DeviceObject地址，第二個是Filter類型名，本命令刪除Filter過濾驅動
57.messagehook
無參數，本命令顯示消息鉤子
58.sigcheck
一個參數，參數為文件路徑，本命令對文件進行數字簽名
59.processhook
兩個參數，第一個是十進制的進程id，第二個是十六進制的進程對象地址，本命令枚舉進程的Hook
60.kernelhook
無參數，本命令枚舉內核模塊Hook
61.del
一個必備參數，參數為文件路徑，本命令刪除一個文件，如果需要強制刪除文件，可以在文件路徑前加上/f開關
62.copy
兩個參數，第一個是存在的文件路徑，第二個是新文件路徑，本命令復制文件
63.rename
兩個參數，第一個是存在的文件路徑，第二個是新文件路徑，本命令重命名文件
64.dir
一個參數，參數為文件目錄，本命令相當于Windows控制臺的dir命令功能
65.regkey
一個參數，參數是注冊表路徑，本命令枚舉注冊表該路徑下的子鍵信息
66.regvalue
一個參數，參數是注冊表路徑，本命令枚舉注冊表該路徑下的值信息
67.delvalue
兩個參數，第一個是注冊表路徑，第二個是注冊表值名，本命令刪除注冊表中的一個值項
68.scsi
可以使用/all參數表示顯示所有，否則只顯示掛夠函數，本命令顯示scsi上的鉤子
69.rscsi
可以使用/all參數表示顯示所有，否則只顯示掛夠函數，本命令顯示scsi上的鉤子
70.mouse
可以使用/all參數表示顯示所有，否則只顯示掛夠函數，本命令顯示mouse上的鉤子
71.rmouse
可以使用/all參數表示顯示所有，否則只顯示掛夠函數，本命令顯示mouse上的鉤子
72.exit
無參數，本命令用于退出XueTrCmd程序
73.quit
和exit等效