[原创]NT系统信息察看工具 : NtInfoGuy

原文链接:[原创]NT系统信息察看工具 : NtInfoGuy

对于windows的内部，我们有太多的东西需要了解，认知。我们非凡的、从不知足的探求本性驱使我们要 拨开迷雾得见青天。太多的木马，病毒，Rootkit隐藏在系统中，这需要我们去侦查、洞悉。对于一些系统程序员来说，了解当前NT系统的内部状态，信息同样也是相当有用和重要的。

虽然目前有不少这样的小工具， 但是它们都只是涉及到系统信息的各个不同子集。在这样一个背景下非常有必要有一个可以查看NT系统完整状态信息的工具，于是NtInfoGuy应运而生了。这个东东不是从石头中蹦出来的，却是从大熊猫脑海中逐渐浮现出来的。该工具采用控制台开发，如果有精力可能会转成GUI的方式。程序兼容的系统: Win2k(sp4),Winxp(sp3),Win2k3(sp2),Vista,Windows7。

NtInfoGuy已实现的功能有:

1 显示系统SSDT表，SSDT Shadow表并且尝试寻找可能的服务表项钩子，红色标示出了可能的钩子;

2 显示系统GDT表，并且显示各个表项的属性;

3 显示系统IDT表，并且显示各个门的属性;

4 显示当前系统加载模块的信息，并且可识别出windows可信任模块;

红字表示不受信任的模块或在磁盘上未找到的模块。

5 直接从内核中获取系统加载模块的信息，在DbgView中显示;

6 显示系统各个主要部件内核变量的值.

当然这还远远不够，以下是准备添加的功能:

1 准备再添加Inline Hook的识别，以及将Hook还原的功能;

2 将内核地址对应到一个区域中，比如一个驱动，换页池，非换页池等;

3 显示指定位置内核代码的反汇编;

4 增加GUI，可能用SDK，也可能用VB,C#等等语言来写;

5 更加全面的内核变量的显示，目前只是显示了内存管理器的内核变量。

希望有兴趣的童鞋可以参与进来。如果你一直是单干的程序员，甚至不是专业的程序员，但对编程有狂热的兴趣,想感受结对编程的乐趣，请和熊猫偶联系。如果你不懂系统编程，但是界面设计很有一手也可以加入。这个工具只是一个雏形，希望可以有更成熟的表现。

程序说明 :

1 首先熊猫以人格担保代码里无任何木马，病毒,RootKit等无聊东东;

2 我写的代码是NtInfoGuy.exe和NtInfoGuy.dll加起来不到60KB，其他2个Dll是微软官方的调试
  以及符号服务库，在运行时是要使用的。如果你的系统中安装了新版的WinDbg，另外这两个Dll
  可以使用WinDbg目录中的新版本。

3 程序需要加载驱动程序进入内核取得信息;

4 程序需要自动连接到微软官方符号网站下载内核的符号文件，否则某些内核符号不能获得。
  和WinDbg下载符号文件是同样的道理。

5 该程序可能有BUG、漏洞，可能会导致系统崩溃，请在非关键系统上运行。该程序带来的一切
  损失和熊猫无关哦。

6 关于该程序的更多信息请观赏 : http://blog.csdn.net/mydo/archive/2010/0/17/5742188.aspx

7 程序第一次运行时因为要下载NT符号文件可能比较慢，一旦符号下载完成,以后的运行都会很快.

符号文件下载的位置就在程序当前路径的syms文件夹中.

NtInfoGuy下载地址 :  http://hopy.bokee.com/inc/NtInfoGuy.7z

NtInfoGuy的源代码请到看雪下载: http://bbs.pediy.com/showthread.php?t=117432