64位內(nèi)核系統(tǒng)文件工具(Win64AST)

Win64AST是全球第一個專用于64位系統(tǒng)的內(nèi)核級的高級系統(tǒng)工具，由于使用了特殊的內(nèi)核技術(shù)，WIN64AST 能夠從底層控制系統(tǒng)，有很大的操作權(quán)限，是一個強大的Anti Rootkit 工具。

目前實現(xiàn)的功能：

進程/內(nèi)存/線程/模塊/句柄/窗口管理

內(nèi)核模塊查看

網(wǎng)絡(luò)連接查看和禁止

查看/恢復(fù)SSDT和Shadow SSDT

掃描/恢復(fù)RING3和RING0的內(nèi)聯(lián)鉤子

查看并刪除消息鉤子

查看/恢復(fù)重要驅(qū)動程序分發(fā)函數(shù)

查看/恢復(fù)內(nèi)核對象例程鉤子

枚舉通告和回調(diào)

枚舉I/O定時器

枚舉DPC定時器

枚舉MiniFilter/失效MiniFilter的回調(diào)函數(shù)

枚舉/摘除過濾驅(qū)動

查看/備份/恢復(fù)/自動修復(fù)主引導(dǎo)記錄(MBR)

進程行為監(jiān)視（創(chuàng)建進程/創(chuàng)建線程/加載驅(qū)動/修改注冊表/改動文件系統(tǒng)/連接網(wǎng)絡(luò)/修改時間）

內(nèi)核內(nèi)存編輯

在驅(qū)動里枚舉文件、強制新建/解鎖/刪除/破壞文件

在驅(qū)動里枚舉注冊表、強制刪除/新建/重命名注冊表鍵(KEY)和注冊表值(VALUE)

禁止創(chuàng)建進程/禁止創(chuàng)建文件/禁止創(chuàng)建注冊表鍵(KEY)和注冊表值(VALUE)/禁止加載驅(qū)動

校驗文件簽名

枚舉/恢復(fù)中斷描述符表鉤子

.枚舉全局描述符表

顯示特殊寄存器的值

檢測進程的IAT鉤子和EAT鉤子

查看/備份/恢復(fù)/自動修復(fù)卷引導(dǎo)記錄(VBR)

網(wǎng)絡(luò)防火墻

枚舉/刪除SPI、BHO、IE右鍵菜單

DLL/驅(qū)動加載器

動態(tài)開啟/關(guān)閉LKD和DSE（警告：此功能會觸發(fā) PatchGuard 導(dǎo)致藍屏，僅限“內(nèi)核開發(fā)人員”使用）

隱藏進程（警告：此功能會觸發(fā) PatchGuard 導(dǎo)致藍屏，僅限“內(nèi)核開發(fā)人員”使用）

簡介：

Win64AST 全稱Win64 Advanced System Tool，僅支持 Windows 7 x64 和 Windows 2008 R2，目前實現(xiàn)的功能就有：進程/線程/模塊/句柄/窗口管理、查看內(nèi)核模塊、查看端口、查看并恢復(fù) SSDT 和 Shadow SSDT、查看并刪除消息鉤子、強制解鎖/刪除文件、禁止創(chuàng)建進程/線程/文件/注冊表項/注冊表鍵值、校驗文件簽名等。

不過 Win64AST 使用起來有些麻煩，不是很人性化，由于所需的驅(qū)動程序沒有數(shù)字簽名，而且部分功能使用了內(nèi)核掛鉤技術(shù)，需要破解驅(qū)動簽名強制和PatchGuard 才能使用。如果不使用特定功能，就無需破解 PatchGuard，只需要打開系統(tǒng)的「測試簽名模式」并給本軟件所需的驅(qū)動添加上測試簽名即可。

更新日志：

Win64AST 1.10 Beta2 更新日志：

解決部分系統(tǒng)上用戶態(tài)HOOK掃描不全的問題

解決內(nèi)核態(tài)INLINE HOOK掃描不全的問題

增加掃描內(nèi)核態(tài)EAT/IAT HOOK的功能

增加掃描全局無簽名DLL的功能

增強文件破壞功能（支持多種磁盤類型并能無視大部分HOOK）

增加顯示更多IRP分發(fā)函數(shù)的信息

增加顯示更多OBJECT類型的信息

增強無簽名DLL/SYS加載器功能（支持CALL導(dǎo)出函數(shù)和驅(qū)動控制碼）

增加重啟突破WIN7/8/8.1X64的PATCHGUARD的功能

增加更多防火墻的過濾條件（端口、目錄[可以禁止整個目錄下的程序訪問網(wǎng)絡(luò)]）

恢復(fù)并完善“行為監(jiān)視器”功能

其它一些小的改進

Win64AST 1.10

徹底重寫UI加快啟動速度、修改眾多可能導(dǎo)致藍屏的BUG（特別是意外藍屏后重啟運行會再次藍屏的 BUG）

新增枚舉 WFP CALLOUT 和 WFP Driver

新增查看所有驅(qū)動的IRP分發(fā)函數(shù)

新增對動態(tài) WIN8/8.1 開啟 LKD 的支持

新增系統(tǒng)敏感項目檢查（目前只檢查了 IFEO，以后慢慢增加）

取消隱藏進程功能（本軟件不是進程隱藏工具）、取消中文界面（本人空閑時間有限不打算把有限的精力用在語言上）

Win64AST 1.03
支持Windows 8.1
動態(tài)禁用 Driver Signature Enforcement (驅(qū)動簽名強制)
完善了底層方式讀寫磁盤的邏輯 (解決部分電腦上無法讀寫 MBR 的問題，遇到 GPT 分區(qū)會提示)
完善了句柄的枚舉

Win64AST 1.02 正式版
刪除：“隱藏進程”功能
修復(fù)：某些listview復(fù)制信息不全的問題
修復(fù)：內(nèi)核模塊定位錯誤
修復(fù)：注冊表某些項目顯示不全
修復(fù)：解鎖文件的BUG
修復(fù)：卸載DLL的BUG
新增：進程『啟動時間』、『啟動參數(shù)』數(shù)據(jù)
新增：注入DLL到系統(tǒng)進程（SMSS.EXE和CSRSS.EXE除外）
新增：簡單識別工作隊列線程（信息不保證正確）
新增：讀寫進程內(nèi)存時禁用COPY-ON-WRITE
新增：內(nèi)核探索者命令（虛擬地址轉(zhuǎn)換、物理地址映射等）
新增：文件管理器功能（設(shè)置文件權(quán)限、創(chuàng)建硬鏈接、查看句柄占用信息、查看重啟刪除列表）

2013-02-21：1.01[正式版]
01.兼容：可以在“帶網(wǎng)絡(luò)連接的安全模式”下運行（但部分和minifilter驅(qū)動有關(guān)的功能無法使用）
02.兼容：修正了與某HIPS共用時導(dǎo)致獲取SSDT原始地址錯誤的問題
03.修改：手動檢測MBR Rootkit改為自動檢測
04.修改：高亮非微軟項目（多個相關(guān)列表）
05.增強：使用“隨機驅(qū)動文件名”防止某些軟件根據(jù)文件名來阻止驅(qū)動加載
06.增強：結(jié)束進程
07.增強：枚舉進程模塊
08.增強：INLINE HOOK檢測新增一些重要的未導(dǎo)出函數(shù)（如KiSystemCall64等）
09.新增：窗口探測器、消息洪水攻擊
10.新增：自動修復(fù)MBR（穿部分還原，測試能過『雨過天晴20130111』）
11.新增：文件扇區(qū)清零（穿部分還原，測試能過『雨過天晴20130111』、『冰點7.51.20.4170』、『影子衛(wèi)士1.2.0.355』、『Returnil 2011(1.0.5.5400)』）
12.新增：導(dǎo)出注冊表項
13.新增：定位到文件/注冊表（行為監(jiān)視器）
14.新增：命令行參數(shù)nosafecheck（啟動時不進行安全檢查加快啟動速度）
15.新增：顯示驅(qū)動服務(wù)名、刪除驅(qū)動文件以及相關(guān)注冊表項目、卸載驅(qū)動
16.新增：枚舉/申請/釋放/轉(zhuǎn)儲/反匯編進程內(nèi)存、修改進程內(nèi)存屬性、內(nèi)存內(nèi)容查找
17.新增：當行為監(jiān)視器攔截到驅(qū)動加載時，把驅(qū)動文件復(fù)制到C盤根目錄
18.新增：根據(jù)進程名保護進程
19.新增：顯示指定類型文件、給文件和文件夾加上/去除“只讀/隱藏/系統(tǒng)屬性”
20.其他：圖標換成了戴爾ALIENWARE品牌的圖標