Win64AST(64位内核系统工具)

system

软件标签:  win64ast   系统工具
win64ast(64位内核系统工具)是一款支持64位windows的ark、内核级的高级系统工具，win64ast中文版使用更加方便，本工具用于手工杀毒、辅助调试、内核研究等非常的有帮助。要知道64位操作系统下的ark工具还是不多见的，需要的用户赶紧下载吧。
拓展阅读
rootkit 通常是指加载到操作系统内核中的恶意软件，因为其代码运行在特权模式之下，极具危险性。有 rootkit，就需要 anti rootkit，用到的就是 ark 工具。

针对32位的 windows xp 或 windows 7 系统，已经有很多成熟的工具了，比如冰刃、早期的冰刃 (icesword)、wsyscheck、到后来的狙剑 (snipesword)、xuetr，还有最近很给力的 powertool 等，但是64位操作系统下的 ark 工具发展相对缓慢，三个月之前 ithurricane 才发布了 powertool 64位版，并支持 windows 8。

而 tesla.angela 开发的 win64ast 是另一款、也可能是全球第一个专用于64位系统的内核级的高级系统工具，由于使用了特殊的内核技术，win64ast 能够从底层控制系统，有很大的操作权限，是一个强大的 anti rootkit 工具，能够查看并管理64位 windows 系统的各种内核信息，可用于手工杀毒、辅助调试、内核研究等。
功能介绍
win64ast 全称 win64 advanced system tool，支持 windows 7 x64、windows 8 x64 和 windows 2008 r2，目前实现的功能有：

进程/内存/线程/模块/句柄/窗口管理

内核模块查看

查看并删除消息钩子

查看/恢复重要驱动程序分发函数

查看/恢复内核对象例程钩子

网络连接查看和禁止

查看/恢复ssdt和shadow ssdt

扫描/恢复ring3和ring0的内联钩子

枚举通告和回调

枚举i/o定时器

枚举dpc定时器

枚举minifilter/失效minifilter的回调函数

枚举/摘除过滤驱动

查看/备份/恢复/自动修复主引导记录(mbr)

进程行为监视(创建进程/创建线程/加载驱动/修改注册表/改动文件系统/连接网络/修改时间)

内核内存编辑

在驱动里枚举文件、强制新建/解锁/删除/破坏文件

在驱动里枚举注册表、强制删除/新建/重命名注册表键(key)和注册表值(value)

禁止创建进程/禁止创建文件/禁止创建注册表键(key)和注册表值(value)/禁止加载驱动

校验文件签名

枚举/恢复中断描述符表钩子

.枚举全局描述符表

显示特殊寄存器的值

检测进程的iat钩子和eat钩子

查看/备份/恢复/自动修复卷引导记录(vbr)

网络防火墙

枚举/删除spi、bho、ie右键菜单

dll/驱动加载器

动态开启/关闭lkd和dse(警告：此功能会触发 patchguard 导致蓝屏，仅限“内核开发人员”使用)

隐藏进程(警告：此功能会触发 patchguard 导致蓝屏，仅限“内核开发人员”使用)
更新日志
win64ast 1.10 beta2 更新日志

解决部分系统上用户态hook扫描不全的问题

解决内核态inline hook扫描不全的问题

增加扫描内核态eat/iat hook的功能

增加显示更多irp分发函数的信息

增加显示更多object类型的信息

增加扫描全局无签名dll的功能

增强文件破坏功能（支持多种磁盘类型并能无视大部分hook）

增强无签名dll/sys加载器功能（支持call导出函数和驱动控制码）

增加重启突破win7/8/8.1x64的patchguard的功能

增加更多防火墙的过滤条件（端口、目录[可以禁止整个目录下的程序访问网络]）

恢复并完善“行为监视器”功能

其它一些小的改进

解压密码www.down80.com

https://blog.51cto.com/u_16099270/9147646