PowerTool下載

http://pan.baidu.com/s/1skZx4TZ

PowerTool_1.6_PortableSoft.7z

1 系統檢測

自動檢測了如下安全項；

有個 流氓快捷方式 項

頑固桌面圖標刪不掉3種辦法：
1、桌面上點鼠標右鍵-排列圖標-運行桌面圖標清理向導-選擇要清理的圖標-點下一步就可以了
2.如果有360安全衛士，可以嘗試：
打開 360安全衛士——修復IE，全選，立即修復！
然后打開 360頑固木馬專殺大全(百度搜索下載)，里面也有一個修復，
把里面的與 IE相關 的選項都打上勾，立即修復 即可！
做以上動作時請先將瀏覽器關閉
3、（如果系統里面沒有桌面圖標清理向導或清理了無效）建議使用windows清理助手有綠色版不用安裝）掃描后，再用故障修復（全選）修復后,桌面上點鼠標右鍵刷新一遍再看桌面圖標是不是沒有了，如果無效建議安全模式下進行操作。

2 主引導記錄

可備份主引導記錄；

CLI禁止中斷發生
STL允許中斷發生
這兩個指令只能在內核模式下執行

0x7C00是x86 PC操作系統啟動的位置，

Why BIOS loads MBR into 0x7C00 in x86 ?總結一下原因有以下幾點：

① ? ? ?"0x7C00" First appeared in首次出現在IBM PC 5150 ROM BIOS INT 19h handler（中斷處理程序的地址），IBM PC 5150 BIOS Developer Team決定使用這個地址的。
② ? ? ?"0x7C00"這個數字屬于BIOS 的規范范疇的
③ ? ? ?"0x7C00 = 32KiB - 1024B" 原因在于操作系統的需求和CPU內存布局

3 系統驅動

AGP440.SYS是顯卡驅動的文件

amdsata.sys是安裝AHCI 1.2所需要的一個驅動文件

AHCI（Serial ATA Advanced Host Controller Interface）串行ATA高級主控接口/高級主機控制器接口）

alilide.sys屬于ALi mini IDE Driver 是正常驅動文件

4 進程管理

API HOOK技術是一種用于改變API執行結果的技術，Microsoft 自身也在Windows操作系統里面使用了這個技術，如Windows兼容模式等。 API HOOK 技術并不是計算機病毒專有技術，但是計算機病毒經常使用這個技術來達到隱藏自己的目的。

5 模塊

vmware托盤進程里為什么會顯示一個金山公司生產的DLL？真是奇怪；

參考：

http://drops.wooyun.org/news/15514

kbasesrv篡改主頁分析

6 進程權限

在Winnt.h中定義了一些權限名稱的宏，
#define ? ? SE_BACKUP_NAME ? ? ? ? ? ? ? ? ? TEXT("SeBackupPrivilege")
#define ? ? SE_RESTORE_NAME ? ? ? ? ? ? ? ? TEXT("SeRestorePrivilege")
#define ? ? SE_SHUTDOWN_NAME ? ? ? ? ? ? ? TEXT("SeShutdownPrivilege")
#define ? ? SE_DEBUG_NAME ? ? ? ? ? ? ? ? ? ? TEXT("SeDebugPrivilege")

7 內核模塊

200多個，好多啊；

8 內核回調

回調函數就是一個通過函數指針調用的函數。

你到一個商店買東西，剛好你要的東西沒有貨，于是你在店員那里留下了你的電話，過了幾天店里有貨了，店員就打了你的電話，然后你接到電話后就到店里去取了貨。在這個例子里，你的電話號碼就叫回調函數，你把電話留給店員就叫登記回調函數，店里后來有貨了叫做觸發了回調關聯的事件，店員給你打電話叫做調用回調函數，你到店里去取貨叫做響應回調事件。

9 鉤子

10 消息鉤子

11 重要的系統文件

可直接查看Hosts文件內容；

12 文件管理

13 注冊表

14 啟動項

15 網絡連接

16 網絡連接劫持

17 工具自帶的dll

此工具自帶一堆dll

18 過濾驅動

此欄共列出以下類型的過濾驅動：磁盤，文件，I8042prt，鍵盤，網絡，未知；

過濾驅動：

過濾驅動就是掛載在其他驅動上，對某設備的irp進行攔截過濾作用，可以對設備進行功能擴展，或是數據加密等的驅動程序。

對于WDM框架的過濾程序來說共有兩種：一種是高層過濾驅動程序；一種是低層過濾程序。

如果將過濾程序附在功能驅動（FDO）的下面，這樣介于FDO和PDO之間的過濾驅動稱為低層過濾驅動程序，一般記為Low FiDO。
如果被除在功能驅動（FDO）的上面，則稱為上層過濾驅動程序，一般記為High FiDO。
在WMD框架中的過濾驅動可以相互嵌套，層層疊加，即上層過濾驅動程序之上可以再附加更高層的過濾驅動程序，同理低層過濾驅動程序可以被更低層的過濾驅動所過濾。

對每個驅動右擊，可做如下操作；

看一下有四個網絡類型的過濾驅動附加到了PnpManager的驅動上，過濾驅動的作者是微軟自己；
分別是，
C:\Windows\system32\DRIVERS\blbdrive.sys
C:\Windows\system32\drivers\volmgr.sys

blbdrive.sys是什么？資料甚少，僅下頁有所描述；
http://www.computerhope.com/cgi-bin/process.pl?p=blbdrive.sys
SM/MMC host controller file.
另外blddrive.sys也可能是病毒，尤其不在drivers目錄；

volmgr.sys在此有個描述；
http://binarydb.com/file/volmgr.sys-9743.html
volmgr.sys belong to Terminal Server Mouse Driver module developed by Microsoft in the database contains 3 versions of the volmgr.sys signed file and file md5 is 103e84c95832d0ed93507997cc7b54e8.

干嘛要對PNP管理做過濾驅動呢？誰能解釋下呢；

至于文件過濾驅動，是騰訊公司干的，附加到FltMgr；
C:\Windows\system32\drivers\TsQBDrv.sys
TsQBDrv.sys在此頁有一個描述；
http://systemexplorer.net/file-database/file/tsqbdrv-sys/25961742
QQ瀏覽器為何要做文件過濾驅動呢？誰能解釋一下；

看下鍵盤過濾驅動，都是微軟自己干的；
C:\Windows\system32\DRIVERS\kbdclass.sys

http://file.bkjia.com/k/kbdclass.sys.html
kbdclass.sys是什么
kbdclass.sys 是存放在目錄 C:\Windows\System32\drivers。 已知的 Windows 7/Vista/XP 文件大小為 24,576 字節 (占總出現比率 58% )，35,384 字節，42,576 字節 或 32,872 字節。 驅動程序可以在【控制面板-管理工具-服務】中開始或停止，或者由其他程序 所控制。 程序沒有可視窗口。 這個服務沒有詳細注釋。 這個文件是由 Microsoft 所簽發。 這是個鍵盤驅動程序，它可以記下您的輸入鍵。 這個不是 Windows 系統文件。 kbdclass.sys 似乎是被壓縮過的文件 總結在技術上威脅的危險度是 25% 。
kbdclass.sys 也可能是惡意軟件所偽裝，尤其是當它們存在于 c:\windows 或 c:\windows\system32 目錄。

還有一些未知類型的過濾驅動，針對的是ACPI；

看下，干了過濾驅動這個事情的單位有：微軟，intel，Tencent;

總結

以上是生活随笔為你收集整理的图解使用PowerTool对Windows内核做初步研究探索的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。