1 運行

運行，原來是胡哥所作；胡哥真是棒；

2 查看進程；多了EPROCESS列

每個進程都有一個 EPROCESS 結構，里面保存著進程的各種信息，和相關結構的指針。EPROCESS 結構位于系統地址空間，所以訪問這個結構需要有ring0的權限。使用 Win2k DDK 的 KD （內核調試器）我們可以得到 EPROCESS 結構的定義。

3 查看驅動

可看到每個驅動的驅動入口和驅動對象的地址；有一個 Service 列，有的行有值，有的無值；
莫非有值的驅動是用服務加載的？
CreateService加載驅動過程
用CreateService（）函數
1，先是它向Service進程注冊服務。
2，然后Service進程調用ZwLoadDriver（）加載驅動。

4 查看網絡

首先是端口情況；
看到有兩個專門針對IE的操作；
SPI是何物；是這個嗎？
SPI是串行外設接口（Serial Peripheral Interface）的縮寫。SPI，是一種高速的，全雙工，同步的通信總線；
WFP:
微軟在VISTA以后，使用了WFP平臺來代替之前XP和03中的基于包過濾的技術，比如Transport Driver Interface(TDI)過濾,Network Driver Interface Specification(NDIS)過濾，Winsock layered Service Providers(LSP).WFP是一組API和系統服務，它給網絡過濾的應用提供了一種平臺。WFP的這些API
可以在操作系統網絡堆棧的不同層次進行包的處理，在數據到達目的地之前，進行過濾或者修改。

?

5 查看鉤子

可看到各種類型的鉤子
SSDT和Shadow SSDT:
SSDT：主要處理 Kernel32.dll中的系統調用，如openProcess,ReadFile等，主要在ntoskrnl.exe中實現（微軟有給出 ntoskrnl源代碼）
ShadowSSDT: 主要處理，user32.dll,GDI32.dll中調用的函數，如postMessage,SendMessage,FindWindow,主要在win32k.sys中實現.（微軟未給出win32k代碼）
導入地址表鉤子（import Address table hooking）。
當應用程序使用另一個庫中的函數時，必須導入該函數的地址。都是通過IAT來實現的。
應用程序文件系統映像的IMAGE_IMPORT_DESCRIPTOR結構，它包含導入函數的DLL名稱，和兩個IMAGE_IMPROT_BY_NAME數組指針，它包含了導入函數的名稱。這種方式對于顯示調用DLL無效。
內聯函數鉤子
在實現內聯函數鉤子時，實際上是重寫目標函數的代碼字節， 所以無論目標進程如何或何時解析函數地址，都能夠勾住函數。
看下消息鉤子欄，大部分是360干的；360chrome.exe這個是什么，應該是我用的360極速瀏覽器；

?

6 查看內核

可看到MBR信息；

什么是MBR，見；

http://blog.csdn.net/bcbobo21cn/article/details/51171472

看下過濾驅動；

過濾是在不影響上層和下層接口的情況下，在Windows系統內核中加入新的層，從而不需要修改上層的軟件或者下層的真實驅動程序，就加入了新的功能。 ?

為什么有這么多過濾驅動；多數是微軟自己干的；誰能解釋下？

7 啟動項

8 系統設置界面

系統設置，軟件設置，程序員選項，進程和線程的殺死方式設置等； forbid是禁止的意思；系統設置里可以禁止很多事情；

?

64位win7 冰刃下載：文件名是Win64AST_1.10_PortableSoft

http://pan.baidu.com/s/1skZx4TZ

?

《新程序員》：云原生和全面數字化實踐50位技術專家共同創作，文字、視頻、音頻交互閱讀

總結

以上是生活随笔為你收集整理的冰刃初步使用图解(Win7 64位)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。