Win64AST(64位內(nèi)核系統(tǒng)工具)是一款支持64位Windows的ARK、內(nèi)核級的高級系統(tǒng)工具�,Win64AST中文版使用更加方便,本工具用于手工殺毒�、輔助調(diào)試、內(nèi)核研究等非常的有幫助��。要知道64位操作系統(tǒng)下的ARK工具還是不多見的���,需要的用戶趕緊下載吧�。
拓展閱讀
Rootkit 通常是指加載到操作系統(tǒng)內(nèi)核中的惡意軟件�����,因為其代碼運行在特權(quán)模式之下�����,極具危險性。有 Rootkit�,就需要 Anti Rootkit,用到的就是 ARK 工具��。
針對32位的 Windows XP 或 Windows 7 系統(tǒng)����,已經(jīng)有很多成熟的工具了����,比如冰刃、早期的冰刃 (IceSword)�����、Wsyscheck��、到后來的狙劍 (SnipeSword)���、XueTr��,還有最近很給力的 PowerTool 等���,但是64位操作系統(tǒng)下的 ARK 工具發(fā)展相對緩慢�����,三個月之前 IThurricane 才發(fā)布了 PowerTool 64位版��,并支持 Windows 8�����。
而 Tesla.Angela 開發(fā)的 Win64AST 是另一款���、也可能是全球第一個專用于64位系統(tǒng)的內(nèi)核級的高級系統(tǒng)工具,由于使用了特殊的內(nèi)核技術(shù)��,WIN64AST 能夠從底層控制系統(tǒng)�����,有很大的操作權(quán)限�,是一個強大的 Anti Rootkit 工具,能夠查看并管理64位 Windows 系統(tǒng)的各種內(nèi)核信息���,可用于手工殺毒�����、輔助調(diào)試�����、內(nèi)核研究等�����。
功能介紹
Win64AST 全稱 Win64 Advanced System Tool�����,支持 Windows 7 x64���、Windows 8 x64 和 Windows 2008 R2,目前實現(xiàn)的功能有:
進(jìn)程/內(nèi)存/線程/模塊/句柄/窗口管理
內(nèi)核模塊查看
查看并刪除消息鉤子
查看/恢復(fù)重要驅(qū)動程序分發(fā)函數(shù)
查看/恢復(fù)內(nèi)核對象例程鉤子
網(wǎng)絡(luò)連接查看和禁止
查看/恢復(fù)SSDT和Shadow SSDT
掃描/恢復(fù)RING3和RING0的內(nèi)聯(lián)鉤子
枚舉通告和回調(diào)
枚舉I/O定時器
枚舉DPC定時器
枚舉MiniFilter/失效MiniFilter的回調(diào)函數(shù)
枚舉/摘除過濾驅(qū)動
查看/備份/恢復(fù)/自動修復(fù)主引導(dǎo)記錄(MBR)
進(jìn)程行為監(jiān)視(創(chuàng)建進(jìn)程/創(chuàng)建線程/加載驅(qū)動/修改注冊表/改動文件系統(tǒng)/連接網(wǎng)絡(luò)/修改時間)
內(nèi)核內(nèi)存編輯
在驅(qū)動里枚舉文件����、強制新建/解鎖/刪除/破壞文件
在驅(qū)動里枚舉注冊表、強制刪除/新建/重命名注冊表鍵(KEY)和注冊表值(VALUE)
禁止創(chuàng)建進(jìn)程/禁止創(chuàng)建文件/禁止創(chuàng)建注冊表鍵(KEY)和注冊表值(VALUE)/禁止加載驅(qū)動
校驗文件簽名
枚舉/恢復(fù)中斷描述符表鉤子
.枚舉全局描述符表
顯示特殊寄存器的值
檢測進(jìn)程的IAT鉤子和EAT鉤子
查看/備份/恢復(fù)/自動修復(fù)卷引導(dǎo)記錄(VBR)
網(wǎng)絡(luò)防火墻
枚舉/刪除SPI���、BHO����、IE右鍵菜單
DLL/驅(qū)動加載器
動態(tài)開啟/關(guān)閉LKD和DSE(警告:此功能會觸發(fā) PatchGuard 導(dǎo)致藍(lán)屏,僅限“內(nèi)核開發(fā)人員”使用)
隱藏進(jìn)程(警告:此功能會觸發(fā) PatchGuard 導(dǎo)致藍(lán)屏���,僅限“內(nèi)核開發(fā)人員”使用)
更新日志
Win64AST 1.10 Beta2 更新日志
解決部分系統(tǒng)上用戶態(tài)HOOK掃描不全的問題
解決內(nèi)核態(tài)INLINE HOOK掃描不全的問題
增加掃描內(nèi)核態(tài)EAT/IAT HOOK的功能
增加顯示更多IRP分發(fā)函數(shù)的信息
增加顯示更多OBJECT類型的信息
增加掃描全局無簽名DLL的功能
增強文件破壞功能(支持多種磁盤類型并能無視大部分HOOK)
增強無簽名DLL/SYS加載器功能(支持CALL導(dǎo)出函數(shù)和驅(qū)動控制碼)
增加重啟突破WIN7/8/8.1X64的PATCHGUARD的功能
增加更多防火墻的過濾條件(端口����、目錄[可以禁止整個目錄下的程序訪問網(wǎng)絡(luò)])
恢復(fù)并完善“行為監(jiān)視器”功能
其它一些小的改進(jìn)
網(wǎng)友評分:8 
