Win64AST是全球第一个专用于64位系统的内核级的高级系统工具,由于使用了特殊的内核技术,WIN64AST 能够从底层控制系统,有很大的操作权限,是一个强大的Anti Rootkit工具。目前该功能仅支持 Windows 7 x64 和 Windows 2008 R2。
【功能说明】
1.进程/线程/模块/句柄/窗口管理2.查看内核模块
3.查看端口
4.查看并恢复 SSDT 和 Shadow SSDT
5.查看并删除消息钩子
6.强制解锁/删除文件
7.禁止创建进程/线程/文件/注册表项/注册表键值
8.校验文件签名
【更新日志】
Win64AST 1.03
支持Windows 8.1
动态禁用 Driver Signature Enforcement (驱动签名强制)
完善了底层方式读写磁盘的逻辑 (解决部分电脑上无法读写 MBR 的问题,遇到 GPT 分区会提示)
完善了句柄的枚举
Win64AST 1.02 更新说明:
1.兼容:可以在“带网络连接的安全模式”下运行(但部分和minifilter驱动有关的功能无法使用)
2.兼容:修正了与某HIPS共用时导致获取SSDT原始地址错误的问题
3.修改:手动检测MBR Rootkit改为自动检测
4.修改:高亮非微软项目(多个相关列表)
5.增强:使用“随机驱动文件名”防止某些软件根据文件名来阻止驱动加载
6.增强:结束进程
7.增强:枚举进程模块
8.增强:INLINE HOOK检测新增一些重要的未导出函数(如KiSystemCall64等)
9.新增:窗口探测器、消息洪水攻击
10.新增:自动修复MBR(穿部分还原,测试能过『雨过天晴20130111』)
11.新增:文件扇区清零(穿部分还原,测试能过『雨过天晴20130111』、『冰点7.51.20.4170』、『影子卫士1.2.0.355』等)
12.新增:导出注册表项
13.新增:定位到文件/注册表(行为监视器)
14.新增:命令行参数nosafecheck(启动时不进行安全检查加快启动速度)
15.新增:显示驱动服务名、删除驱动文件以及相关注册表项目、卸载驱动
16.新增:枚举/申请/释放/转储/反汇编进程内存、修改进程内存属性、内存内容查找
17.新增:当行为监视器拦截到驱动加载时,把驱动文件复制到C盘根目录
18.新增:根据进程名保护进程
19.新增:显示指定类型文件、给文件和文件夹加上/去除“只读/隐藏/系统属性”
20.其他:图标换成了戴尔ALIENWARE品牌的图标
2013-02-21:1.01[正式版]
01.兼容:可以在“带网络连接的安全模式”下运行(但部分和minifilter驱动有关的功能无法使用)
02.兼容:修正了与某HIPS共用时导致获取SSDT原始地址错误的问题
03.修改:手动检测MBR Rootkit改为自动检测
04.修改:高亮非微软项目(多个相关列表)
05.增强:使用“随机驱动文件名”防止某些软件根据文件名来阻止驱动加载
06.增强:结束进程
07.增强:枚举进程模块
08.增强:INLINE HOOK检测新增一些重要的未导出函数(如KiSystemCall64等)
09.新增:窗口探测器、消息洪水攻击
10.新增:自动修复MBR(穿部分还原,测试能过『雨过天晴20130111』)
11.新增:文件扇区清零(穿部分还原,测试能过『雨过天晴20130111』、『冰点7.51.20.4170』、『影子卫士1.2.0.355』、『Returnil 2011(1.0.5.5400)』)
12.新增:导出注册表项
13.新增:定位到文件/注册表(行为监视器)
14.新增:命令行参数nosafecheck(启动时不进行安全检查加快启动速度)
15.新增:显示驱动服务名、删除驱动文件以及相关注册表项目、卸载驱动
16.新增:枚举/申请/释放/转储/反汇编进程内存、修改进程内存属性、内存内容查找
17.新增:当行为监视器拦截到驱动加载时,把驱动文件复制到C盘根目录
18.新增:根据进程名保护进程
19.新增:显示指定类型文件、给文件和文件夹加上/去除“只读/隐藏/系统属性”
20.其他:图标换成了戴尔ALIENWARE品牌的图标
Win64AST 1.00 正式版更新日志:
新增文件管理功能
新增注册表编辑
2013-01-01:1.00[BETA6]
1.新增“废除回调函数”功能
2.新增枚举/恢复IDT钩子
3.新增扫描/恢复进程的IAT钩子和EAT钩子
4.新增枚举/恢复ClassPNP.sys、ATAPI.sys、NDIS.sys、TCPIP.sys的分发函数
5.新增查看特殊寄存器的值
6.新增枚举全局描述符表
7.内核探索者新增10条命令
8.行为监视器新增“排除指定PID”功能,信息显示上更加详细