Win64AST是全球第一个专用于64位系统的内核级的高级系统工具,由于使用了特殊的内核技术,WIN64AST 能够从底层控制系统,有很大的操作权限,是一个强大的Anti Rootkit 工具。简介:Win64AST 全称Win64 Advanced System Tool,仅支持 Windows 7 x64 和 Windows 2008 R2,目前实现的功能就有:进程/线程/模块/句柄/窗口管理、查看内核模块、查看端口、查看并恢复 SSDT 和 Shadow SSDT、查看并删除消息钩子、强制解锁/删除文件、禁止创建进程/线程/文件/注册表项/注册表键值、校验文件签名等。
不过 Win64AST 使用起来有些麻烦,不是很人性化,由于所需的驱动程序没有数字签名,而且部分功能使用了内核挂钩技术,需要破解驱动签名强制和PatchGuard 才能使用。如果不使用特定功能,就无需破解 PatchGuard,只需要打开系统的「测试签名模式」并给本软件所需的驱动添加上测试签名即可。更新日志:Win64AST 1.10彻底重写UI加快启动速度、修改众多可能导致蓝屏的BUG(特别是意外蓝屏后重启运行会再次蓝屏的 BUG)新增枚举 WFP CALLOUT 和 WFP Driver新增查看所有驱动的IRP分发函数新增对动态 WIN8/8.1 开启 LKD 的支持新增系统敏感项目检查(目前只检查了 IFEO,以后慢慢增加)取消隐藏进程功能(本软件不是进程隐藏工具)、取消中文界面(本人空闲时间有限不打算把有限的精力用在语言上)
Win64AST 1.03
支持Windows 8.1
动态禁用 Driver Signature Enforcement (驱动签名强制)
完善了底层方式读写磁盘的逻辑 (解决部分电脑上无法读写 MBR 的问题,遇到 GPT 分区会提示)
完善了句柄的枚举Win64AST 1.02 正式版
删除:“隐藏进程”功能
修复:某些listview复制信息不全的问题
修复:内核模块定位错误
修复:注册表某些项目显示不全
修复:解锁文件的BUG
修复:卸载DLL的BUG
新增:进程『启动时间』、『启动参数』数据
新增:注入DLL到系统进程(SMSS.EXE和CSRSS.EXE除外)
新增:简单识别工作队列线程(信息不保证正确)
新增:读写进程内存时禁用COPY-ON-WRITE
新增:内核探索者命令(虚拟地址转换、物理地址映射等)
新增:文件管理器功能(设置文件权限、创建硬链接、查看句柄占用信息、查看重启删除列表)2013-02-21:1.01[正式版]
01.兼容:可以在“带网络连接的安全模式”下运行(但部分和minifilter驱动有关的功能无法使用)
02.兼容:修正了与某HIPS共用时导致获取SSDT原始地址错误的问题
03.修改:手动检测MBR Rootkit改为自动检测
04.修改:高亮非微软项目(多个相关列表)
05.增强:使用“随机驱动文件名”防止某些软件根据文件名来阻止驱动加载
06.增强:结束进程
07.增强:枚举进程模块
08.增强:INLINE HOOK检测新增一些重要的未导出函数(如KiSystemCall64等)
09.新增:窗口探测器、消息洪水攻击
10.新增:自动修复MBR(穿部分还原,测试能过『雨过天晴20130111』)
11.新增:文件扇区清零(穿部分还原,测试能过『雨过天晴20130111』、『冰点7.51.20.4170』、『影子卫士1.2.0.355』、『Returnil 2011(1.0.5.5400)』)
12.新增:导出注册表项
13.新增:定位到文件/注册表(行为监视器)
14.新增:命令行参数nosafecheck(启动时不进行安全检查加快启动速度)
15.新增:显示驱动服务名、删除驱动文件以及相关注册表项目、卸载驱动
16.新增:枚举/申请/释放/转储/反汇编进程内存、修改进程内存属性、内存内容查找
17.新增:当行为监视器拦截到驱动加载时,把驱动文件复制到C盘根目录
18.新增:根据进程名保护进程
19.新增:显示指定类型文件、给文件和文件夹加上/去除“只读/隐藏/系统属性”
20.其他:图标换成了戴尔ALIENWARE品牌的图标
Win64AST 1.10 beta1 正式绿色版|64位内核系统文件工具相关软件:
Win64AST 1.10 beta1 正式绿色版|64位内核系统文件工具软件评论