XueTr是window內(nèi)核方面的一款手工殺毒輔助工具，具有進程、線程、進程模塊、進程窗口信息查看，殺進程、殺線程、卸載模塊等功能，截止到目前為止只支持32位的2000、xp、2003、vista、2008和Win7操作系統(tǒng)。

軟件功能

　　1.進程、線程、進程模塊、進程窗口、進程內(nèi)存、定時器、熱鍵信息查看，殺進程、殺線程、卸載模塊等功能

　　2.內(nèi)核驅(qū)動模塊查看，支持內(nèi)核驅(qū)動模塊的內(nèi)存拷貝

　　3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看，并能檢測和恢復ssdt hook和inline hook

　　4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看，并支持對這些Notify Routine的刪除

　　5.端口信息查看，目前不支持2000系統(tǒng)

　　6.查看消息鉤子

　　7.內(nèi)核模塊的iat、eat、inline hook、patches檢測和恢復

　　8.磁盤、卷、鍵盤、網(wǎng)絡層等過濾驅(qū)動檢測，并支持刪除

　　9.注冊表編輯

　　10.進程iat、eat、inline hook、patches檢測和恢復

　　11.文件系統(tǒng)查看，支持基本的文件操作

　　12.查看（編輯）IE插件、SPI、啟動項、服務、Host文件、映像劫持、文件關(guān)聯(lián)、系統(tǒng)防火墻規(guī)則、IME

　　13.ObjectType Hook檢測和恢復

　　14.DPC定時器檢測和刪除

　　15.MBR Rootkit檢測和修復

　　16.內(nèi)核對象劫持檢測

　　17.WorkerThread枚舉

軟件特色

　　進程列表分為七列：

　　1、映像名稱：表示進程名字

　　2、進程ID：表示進程的Id

　　3、父進程ID：表示該進程由誰創(chuàng)建

　　4、映像路徑：表示進程路徑

　　5、EPROCESS：表示進程內(nèi)核對象地址，熟悉點Windows內(nèi)核的人，可以通過這個地址查看更多的信息，對一般的人，這個地址無視即可

　　6、應用層訪問狀態(tài)：表示這個進程是否允許其它進程在應用層打開，一般的安全軟件為了保護自己，會禁止其它進程打開自己

　　7、文件廠商：表示進程主文件由那個公司發(fā)布的，由于這個文件廠商信息很容易偽造，因此這個信息在少數(shù)情況下可能會是假的

　　驅(qū)動模塊列表分為八列：

　　1、驅(qū)動名：表示驅(qū)動程序名字

　　2、基地址：表示驅(qū)動程序在內(nèi)核中的起始地址

　　3、大小：表示驅(qū)動程序在內(nèi)存中的大小

　　4、驅(qū)動對象：表示該驅(qū)動程序創(chuàng)建的驅(qū)動對象，一個驅(qū)動程序可能創(chuàng)建多個驅(qū)動對象，但很多時候創(chuàng)建一個驅(qū)動對象，但有的驅(qū)動程序不創(chuàng)建驅(qū)動對象，因此驅(qū)動程序和驅(qū)動對象并無一一對應關(guān)系，驅(qū)動對象也是給Window內(nèi)核了解者使用的,通過這個他們可以發(fā)現(xiàn)更多的信息，一般使用者無視即可

　　5、驅(qū)動路徑：表示驅(qū)動程序路徑

　　6、服務名：表示與該驅(qū)動對應的服務名

　　7、加載順序：表示該驅(qū)動相對于所有驅(qū)動的加載次序

　　8、文件廠商：表示進程主文件由那個公司發(fā)布的，由于這個文件廠商信息很容易偽造，因此這個信息在少數(shù)情況下可能會是假的