64位内核系统文件工具(Win64AST)

Win64AST是全球第一个专用于64位系统的内核级的高级系统工具，由于使用了特殊的内核技术，WIN64AST能够从底层控制系统，有很大的操作权限，是一个强大的AntiRootkit工具。

目前实现的功能：

进程/内存/线程/模块/句柄/窗口管理

内核模块查看

网络连接查看和禁止

查看/恢复SSDT和ShadowSSDT

扫描/恢复RING3和RING0的内联钩子

查看并删除消息钩子

查看/恢复重要驱动程序分发函数

查看/恢复内核对象例程钩子

枚举通告和回调

枚举I/O定时器

枚举DPC定时器

枚举MiniFilter/失效MiniFilter的回调函数

枚举/摘除过滤驱动

查看/备份/恢复/自动修复主引导记录(MBR)

进程行为监视（创建进程/创建线程/加载驱动/修改注册表/改动文件系统/连接网络/修改时间）

内核内存编辑

在驱动里枚举文件、强制新建/解锁/删除/破坏文件

在驱动里枚举注册表、强制删除/新建/重命名注册表键(KEY)和注册表值(VALUE)

禁止创建进程/禁止创建文件/禁止创建注册表键(KEY)和注册表值(VALUE)/禁止加载驱动

校验文件签名

枚举/恢复中断描述符表钩子

.枚举全局描述符表

显示特殊寄存器的值

检测进程的IAT钩子和EAT钩子

查看/备份/恢复/自动修复卷引导记录(VBR)

网络防火墙

枚举/删除SPI、BHO、IE右键菜单

DLL/驱动加载器

动态开启/关闭LKD和DSE（警告：此功能会触发PatchGuard导致蓝屏，仅限“内核开发人员”使用）

隐藏进程（警告：此功能会触发PatchGuard导致蓝屏，仅限“内核开发人员”使用）

简介：

Win64AST全称Win64AdvancedSystemTool，仅支持Windows7x64和Windows2008R2，目前实现的功能就有：进程/线程/模块/句柄/窗口管理、查看内核模块、查看端口、查看并恢复SSDT和ShadowSSDT、查看并删除消息钩子、强制解锁/删除文件、禁止创建进程/线程/文件/注册表项/注册表键值、校验文件签名等。不过Win64AST使用起来有些麻烦，不是很人性化，由于所需的驱动程序没有数字签名，而且部分功能使用了内核挂钩技术，需要破解驱动签名强制和PatchGuard才能使用。如果不使用特定功能，就无需破解PatchGuard，只需要打开系统的「测试签名模式」并给本软件所需的驱动添加上测试签名即可。

更新日志：

Win64AST1.10Beta2更新日志：

解决部分系统上用户态HOOK扫描不全的问题

解决内核态INLINEHOOK扫描不全的问题

增加扫描内核态EAT/IATHOOK的功能

增加扫描全局无签名DLL的功能

增强文件破坏功能（支持多种磁盘类型并能无视大部分HOOK）

增加显示更多IRP分发函数的信息

增加显示更多OBJECT类型的信息

增强无签名DLL/SYS加载器功能（支持CALL导出函数和驱动控制码）

增加重启突破WIN7/8/8.1X64的PATCHGUARD的功能

增加更多防火墙的过滤条件（端口、目录[可以禁止整个目录下的程序访问网络]）

恢复并完善“行为监视器”功能

其它一些小的改进

Win64AST1.10

彻底重写UI加快启动速度、修改众多可能导致蓝屏的BUG（特别是意外蓝屏后重启运行会再次蓝屏的BUG）

新增枚举WFPCALLOUT和WFPDriver

新增查看所有驱动的IRP分发函数

新增对动态WIN8/8.1开启LKD的支持

新增系统敏感项目检查（目前只检查了IFEO，以后慢慢增加）

取消隐藏进程功能（本软件不是进程隐藏工具）、取消中文界面（本人空闲时间有限不打算把有限的精力用在语言上）

Win64AST1.03支持Windows8.1动态禁用DriverSignatureEnforcement(驱动签名强制)完善了底层方式读写磁盘的逻辑(解决部分电脑上无法读写MBR的问题，遇到GPT分区会提示)完善了句柄的枚举

Win64AST1.02正式版删除：“隐藏进程”功能修复：某些listview复制信息不全的问题修复：内核模块定位错误修复：注册表某些项目显示不全修复：解锁文件的BUG修复：卸载DLL的BUG新增：进程『启动时间』、『启动参数』数据新增：注入DLL到系统进程（SMSS.EXE和CSRSS.EXE除外）新增：简单识别工作队列线程（信息不保证正确）新增：读写进程内存时禁用COPY-ON-WRITE新增：内核探索者命令（虚拟地址转换、物理地址映射等）新增：文件管理器功能（设置文件权限、创建硬链接、查看句柄占用信息、查看重启删除列表）

2013-02-21：1.01[正式版]01.兼容：可以在“带网络连接的安全模式”下运行（但部分和minifilter驱动有关的功能无法使用）02.兼容：修正了与某HIPS共用时导致获取SSDT原始地址错误的问题03.修改：手动检测MBRRootkit改为自动检测04.修改：高亮非微软项目（多个相关列表）05.增强：使用“随机驱动文件名”防止某些软件根据文件名来阻止驱动加载06.增强：结束进程07.增强：枚举进程模块08.增强：INLINEHOOK检测新增一些重要的未导出函数（如KiSystemCall64等）09.新增：窗口探测器、消息洪水攻击10.新增：自动修复MBR（穿部分还原，测试能过『雨过天晴20130111』）11.新增：文件扇区清零（穿部分还原，测试能过『雨过天晴20130111』、『冰点7.51.20.4170』、『影子卫士1.2.0.355』、『Returnil2011(1.0.5.5400)』）12.新增：导出注册表项13.新增：定位到文件/注册表（行为监视器）14.新增：命令行参数nosafecheck（启动时不进行安全检查加快启动速度）15.新增：显示驱动服务名、删除驱动文件以及相关注册表项目、卸载驱动16.新增：枚举/申请/释放/转储/反汇编进程内存、修改进程内存属性、内存内容查找17.新增：当行为监视器拦截到驱动加载时，把驱动文件复制到C盘根目录18.新增：根据进程名保护进程19.新增：显示指定类型文件、给文件和文件夹加上/去除“只读/隐藏/系统属性”20.其他：图标换成了戴尔ALIENWARE品牌的图标

Tags:内核.