Win64AST是全球第一个专用于64位系统的内核级的高级系统工具,由于使用了特殊的内核技术,WIN64AST 能够从底层控制系统,有很大的操作权限,是一个强大的Anti Rootkit 工具。
进程/内存/线程/模块/句柄/窗口管理
内核模块查看
网络连接查看和禁止
查看/恢复SSDT和Shadow SSDT
扫描/恢复RING3和RING0的内联钩子
查看并删除消息钩子
查看/恢复重要驱动程序分发函数
查看/恢复内核对象例程钩子
枚举通告和回调
枚举I/O定时器
枚举DPC定时器
枚举MiniFilter/失效MiniFilter的回调函数
枚举/摘除过滤驱动
查看/备份/恢复/自动修复主引导记录(MBR)
进程行为监视(创建进程/创建线程/加载驱动/修改注册表/改动文件系统/连接网络/修改时间)
内核内存编辑
在驱动里枚举文件、强制新建/解锁/删除/破坏文件
在驱动里枚举注册表、强制删除/新建/重命名注册表键(KEY)和注册表值(VALUE)
禁止创建进程/禁止创建文件/禁止创建注册表键(KEY)和注册表值(VALUE)/禁止加载驱动
校验文件签名
枚举/恢复中断描述符表钩子
.枚举全局描述符表
显示特殊寄存器的值
检测进程的IAT钩子和EAT钩子
查看/备份/恢复/自动修复卷引导记录(VBR)
网络防火墙
枚举/删除SPI、BHO、IE右键菜单
DLL/驱动加载器
动态开启/关闭LKD和DSE(警告:此功能会触发 PatchGuard 导致蓝屏,仅限“内核开发人员”使用)
隐藏进程(警告:此功能会触发 PatchGuard 导致蓝屏,仅限“内核开发人员”使用)
Win64AST 全称Win64 Advanced System Tool,仅支持 Windows 7 x64 和 Windows 2008 R2,目前实现的功能就有:进程/线程/模块/句柄/窗口管理、查看内核模块、查看端口、查看并恢复 SSDT 和 Shadow SSDT、查看并删除消息钩子、强制解锁/删除文件、禁止创建进程/线程/文件/注册表项/注册表键值、校验文件签名等。
不过 Win64AST 使用起来有些麻烦,不是很人性化,由于所需的驱动程序没有数字签名,而且部分功能使用了内核挂钩技术,需要破解驱动签名强制和PatchGuard 才能使用。如果不使用特定功能,就无需破解 PatchGuard,只需要打开系统的「测试签名模式」并给本软件所需的驱动添加上测试签名即可。
Win64AST 1.10 Beta2 更新日志:
解决部分系统上用户态HOOK扫描不全的问题
解决内核态INLINE HOOK扫描不全的问题
增加扫描内核态EAT/IAT HOOK的功能
增加扫描全局无签名DLL的功能
增强文件破坏功能(支持多种磁盘类型并能无视大部分HOOK)
增加显示更多IRP分发函数的信息
增加显示更多OBJECT类型的信息
增强无签名DLL/SYS加载器功能(支持CALL导出函数和驱动控制码)
增加重启突破WIN7/8/8.1X64的PATCHGUARD的功能
增加更多防火墙的过滤条件(端口、目录[可以禁止整个目录下的程序访问网络])
恢复并完善“行为监视器”功能
其它一些小的改进
Win64AST 1.10
彻底重写UI加快启动速度、修改众多可能导致蓝屏的BUG(特别是意外蓝屏后重启运行会再次蓝屏的 BUG)
新增枚举 WFP CALLOUT 和 WFP Driver
新增查看所有驱动的IRP分发函数
新增对动态 WIN8/8.1 开启 LKD 的支持
新增系统敏感项目检查(目前只检查了 IFEO,以后慢慢增加)
取消隐藏进程功能(本软件不是进程隐藏工具)、取消中文界面(本人空闲时间有限不打算把有限的精力用在语言上)
Win64AST 1.03
支持Windows 8.1
动态禁用 Driver Signature Enforcement (驱动签名强制)
完善了底层方式读写磁盘的逻辑 (解决部分电脑上无法读写 MBR 的问题,遇到 GPT 分区会提示)
完善了句柄的枚举
Win64AST 1.02 正式版
删除:“隐藏进程”功能
修复:某些listview复制信息不全的问题
修复:内核模块定位错误
修复:注册表某些项目显示不全
修复:解锁文件的BUG
修复:卸载DLL的BUG
新增:进程『启动时间』、『启动参数』数据
新增:注入DLL到系统进程(SMSS.EXE和CSRSS.EXE除外)
新增:简单识别工作队列线程(信息不保证正确)
新增:读写进程内存时禁用COPY-ON-WRITE
新增:内核探索者命令(虚拟地址转换、物理地址映射等)
新增:文件管理器功能(设置文件权限、创建硬链接、查看句柄占用信息、查看重启删除列表)
2013-02-21:1.01[正式版]
01.兼容:可以在“带网络连接的安全模式”下运行(但部分和minifilter驱动有关的功能无法使用)
02.兼容:修正了与某HIPS共用时导致获取SSDT原始地址错误的问题
03.修改:手动检测MBR Rootkit改为自动检测
04.修改:高亮非微软项目(多个相关列表)
05.增强:使用“随机驱动文件名”防止某些软件根据文件名来阻止驱动加载
06.增强:结束进程
07.增强:枚举进程模块
08.增强:INLINE HOOK检测新增一些重要的未导出函数(如KiSystemCall64等)
09.新增:窗口探测器、消息洪水攻击
10.新增:自动修复MBR(穿部分还原,测试能过『雨过天晴20130111』)
11.新增:文件扇区清零(穿部分还原,测试能过『雨过天晴20130111』、『冰点7.51.20.4170』、『影子卫士1.2.0.355』、『Returnil 2011(1.0.5.5400)』)
12.新增:导出注册表项
13.新增:定位到文件/注册表(行为监视器)
14.新增:命令行参数nosafecheck(启动时不进行安全检查加快启动速度)
15.新增:显示驱动服务名、删除驱动文件以及相关注册表项目、卸载驱动
16.新增:枚举/申请/释放/转储/反汇编进程内存、修改进程内存属性、内存内容查找
17.新增:当行为监视器拦截到驱动加载时,把驱动文件复制到C盘根目录
18.新增:根据进程名保护进程
19.新增:显示指定类型文件、给文件和文件夹加上/去除“只读/隐藏/系统属性”
20.其他:图标换成了戴尔ALIENWARE品牌的图标