64位内核系统文件工具(Win64AST)

Win64AST是全球第一个专用于64位系统的内核级的高级系统工具，因为用了特殊的内核技术，WIN64AST 可以从底层控制系统，有非常大的操作权限，是一个强大的Anti Rootkit 工具。

现在达成的功能：

进程/内存/线程/模块/句柄/窗口管理

内核模块查询

互联网连接查询和禁止

查询/恢复SSDT和Shadow SSDT

扫描/恢复RING3和RING0的内联钩子

查询并删除消息钩子

查询/恢复要紧驱动程序分发函数

查询/恢复内核对象例程钩子

枚举通告和回调

枚举I/O定时器

枚举DPC定时器

枚举MiniFilter/失效MiniFilter的回调函数

枚举/摘除过滤驱动

查询/备份/恢复/自动修复主引导记录

进程行为监视（创建进程/创建线程/加载驱动/修改注册表/改动文件系统/连接互联网/修改时间）

内核内存编辑

在驱动里枚举文件、强制新建/解锁/删除/破坏文件

在驱动里枚举注册表、强制删除/新建/重命名注册表键和注册表值

禁止创建进程/禁止创建文件/禁止创建注册表键和注册表值/禁止加载驱动

校验文件签名

枚举/恢复中断描述符表钩子

.枚举全局描述符表

显示特殊寄存器的值

测试进程的IAT钩子和EAT钩子

查询/备份/恢复/自动修复卷引导记录

互联网防火墙

枚举/删除SPI、BHO、IE右键菜单

DLL/驱动加载器

动态开启/关闭LKD和DSE（警告：此功能会触发 PatchGuard 致使蓝屏，仅限“内核开发职员”用）

隐藏进程（警告：此功能会触发 PatchGuard 致使蓝屏，仅限“内核开发职员”用）

介绍：

Win64AST 全名Win64 Advanced System Tool，仅支持 Win7 x64 和 Windows 2008 R2，现在达成的功能就有：进程/线程/模块/句柄/窗口管理、查询内核模块、查询端口、查询并恢复 SSDT 和 Shadow SSDT、查询并删除消息钩子、强制解锁/删除文件、禁止创建进程/线程/文件/注册表项/注册表键值、校验文件签名等。

不过 Win64AST 用起来有的麻烦，不是非常人性化，因为所需的驱动程序没数字签名，而且部分功能用了内核挂钩技术，需要破解驱动签名强制和PatchGuard 才能用。假如不用特定功能，就不需要破解 PatchGuard，仅需打开系统的「测试签名模式」并给本软件所需的驱动添加上测试签名即可。

更新日志：

Win64AST 1.10 Beta2 更新日志：

解决部分系统上用户态HOOK扫描不全的问题

解决内核态INLINE HOOK扫描不全的问题

增加扫描内核态EAT/IAT HOOK的功能

增加扫描全局无签名DLL的功能

增强文件破坏功能（支持多种磁盘种类并能无视大多数HOOK）

增加显示更多IRP分发函数的信息

增加显示更多OBJECT种类的信息

增强无签名DLL/SYS加载器功能（支持CALL导出函数和驱动控制码）

增加重启突破Windows 7/8/8.1X64的PATCHGUARD的功能

增加更多防火墙的过滤条件（端口、目录[可以禁止整个目录下的程序访问互联网]）

恢复并健全“行为监视器”功能

其它一些小的改进

Win64AST 1.10

彻底重写UI加快启动速度、修改海量可能致使蓝屏的BUG（尤其是意料之外蓝屏后重启运行会第三蓝屏的 BUG）

新增枚举 WFP CALLOUT 和 WFP Driver

新增查询所有驱动的IRP分发函数

新增对动态 WIN8/8.1 开启 LKD 的支持

新增系统敏锐项目检查（现在只检查了 IFEO，将来慢慢增加）

取消隐藏进程功能（本软件不是进程隐藏工具）、取消中文界面（本人空闲时间有限不计划把有限的精力用在语言上）

Win64AST 1.03
支持Windows 8.1
动态禁用 Driver Signature Enforcement
健全了底层方法读写磁盘的逻辑
健全了句柄的枚举

Win64AST 1.02 正式版
删除：“隐藏进程”功能
修复：某些listview复制信息不全的问题
修复：内核模块定位错误
修复：注册表某些项目显示不全
修复：解锁文件的BUG
修复：卸载DLL的BUG
新增：进程『启动时间』、『启动参数』数据
新增：注入DLL到系统进程（SMSS.EXE和CSRSS.EXE除外）
新增：简单辨别工作队列线程（信息不保证正确）
新增：读写进程内存时禁用COPY|ON|WRITE
新增：内核探索者命令（虚拟地址转换、物理地址映射等）
新增：文件管理器功能（设置文件权限、创建硬链接、查询句柄占用信息、查询重启删除列表）

2013|02|21：
1.01[正式版]
01.兼容：可以在“带互联网连接的安全模式”下运行（但部分和minifilter驱动有关的功能没办法用）
02.兼容：修正了与某HIPS共用时致使获得SSDT原始地址错误的问题
03.修改：手工测试MBR Rootkit改为自动测试
04.修改：高亮非Microsoft项目（多个有关列表）
05.增强：用“随机驱动文件名”预防某些软件依据文件名来阻止驱动加载
06.增强：结束进程
07.增强：枚举进程模块
08.增强：INLINE HOOK测试新增一些关键的未导出函数（如KiSystemCall64等）
09.新增：窗口探测器、消息洪水攻击
10.新增：自动修复MBR（穿部分还原，测试能过『雨过天晴20130111』）
11.新增：文件扇区清零（穿部分还原，测试能过『雨过天晴20130111』、『冰点7.51.20.4170』、『影子卫士1.2.0.355』、『Returnil 2011』）
12.新增：导出注册表项
13.新增：定位到文件/注册表（行为监视器）
14.新增：命令行参数nosafecheck（启动时不进行安全检查加快启动速度）
15.新增：显示驱动服务名、删除驱动文件与有关注册表项目、卸载驱动
16.新增：枚举/申请/释放/转储/反汇编进程内存、修改进程内存属性、内存内容查找
17.新增：当行为监视器拦截到驱动加载时，把驱动文件复制到C盘根目录
18.新增：依据进程名保护进程
19.新增：显示指定种类文件、给文件和文件夹加上/去除“只读/隐藏/系统属性”
20.其他：图标换成了戴尔ALIENWARE品牌的图标

TAG标签：内核(1)

转载请说明来源于绿色软件阁（https://www.naanver.com）

本文地址：https://www.naanver.com/soft/2459.html

郑重声明：文章来源于网络作为参考，本站仅用于分享不存储任何下载资源,如果网站中图片和文字侵犯了您的版权，请联系我们处理！邮箱3450399331@qq.com