64位内核系统文件工具(Win64AST)

Win64AST是全球第一个专用于64位系统的内核级的高级系统工具，由于使用了特殊的内核技术，WIN64AST 能够从底层控制系统，有很大的操作权限，是一个强大的Anti Rootkit 工具。

目前实现的功能：

进程/内存/线程/模块/句柄/窗口管理

内核模块查看

网络连接查看和禁止

查看/恢复SSDT和Shadow SSDT

扫描/恢复RING3和RING0的内联钩子

查看并删除消息钩子

查看/恢复重要驱动程序分发函数

查看/恢复内核对象例程钩子

枚举通告和回调

枚举I/O定时器

枚举DPC定时器

枚举MiniFilter/失效MiniFilter的回调函数

枚举/摘除过滤驱动

查看/备份/恢复/自动修复主引导记录(MBR)

进程行为监视（创建进程/创建线程/加载驱动/修改注册表/改动文件系统/连接网络/修改时间）

内核内存编辑

在驱动里枚举文件、强制新建/解锁/删除/破坏文件

在驱动里枚举注册表、强制删除/新建/重命名注册表键(KEY)和注册表值(VALUE)

禁止创建进程/禁止创建文件/禁止创建注册表键(KEY)和注册表值(VALUE)/禁止加载驱动

校验文件签名

枚举/恢复中断描述符表钩子

.枚举全局描述符表

显示特殊寄存器的值

检测进程的IAT钩子和EAT钩子

查看/备份/恢复/自动修复卷引导记录(VBR)

网络防火墙

枚举/删除SPI、BHO、IE右键菜单

DLL/驱动加载器

动态开启/关闭LKD和DSE（警告：此功能会触发 PatchGuard 导致蓝屏，仅限“内核开发人员”使用）

隐藏进程（警告：此功能会触发 PatchGuard 导致蓝屏，仅限“内核开发人员”使用）

简介：

Win64AST 全称Win64 Advanced System Tool，仅支持 Windows 7 x64 和 Windows 2008 R2，目前实现的功能就有：进程/线程/模块/句柄/窗口管理、查看内核模块、查看端口、查看并恢复 SSDT 和 Shadow SSDT、查看并删除消息钩子、强制解锁/删除文件、禁止创建进程/线程/文件/注册表项/注册表键值、校验文件签名等。

不过 Win64AST 使用起来有些麻烦，不是很人性化，由于所需的驱动程序没有数字签名，而且部分功能使用了内核挂钩技术，需要破解驱动签名强制和PatchGuard 才能使用。如果不使用特定功能，就无需破解 PatchGuard，只需要打开系统的「测试签名模式」并给本软件所需的驱动添加上测试签名即可。

更新日志：

Win64AST 1.10 Beta2 更新日志：

解决部分系统上用户态HOOK扫描不全的问题

解决内核态INLINE HOOK扫描不全的问题

增加扫描内核态EAT/IAT HOOK的功能

增加扫描全局无签名DLL的功能

增强文件破坏功能（支持多种磁盘类型并能无视大部分HOOK）

增加显示更多IRP分发函数的信息

增加显示更多OBJECT类型的信息

增强无签名DLL/SYS加载器功能（支持CALL导出函数和驱动控制码）

增加重启突破WIN7/8/8.1X64的PATCHGUARD的功能

增加更多防火墙的过滤条件（端口、目录[可以禁止整个目录下的程序访问网络]）

恢复并完善“行为监视器”功能

其它一些小的改进

Win64AST 1.10

彻底重写UI加快启动速度、修改众多可能导致蓝屏的BUG（特别是意外蓝屏后重启运行会再次蓝屏的 BUG）

新增枚举 WFP CALLOUT 和 WFP Driver

新增查看所有驱动的IRP分发函数

新增对动态 WIN8/8.1 开启 LKD 的支持

新增系统敏感项目检查（目前只检查了 IFEO，以后慢慢增加）

取消隐藏进程功能（本软件不是进程隐藏工具）、取消中文界面（本人空闲时间有限不打算把有限的精力用在语言上）

Win64AST 1.03
支持Windows 8.1
动态禁用 Driver Signature Enforcement (驱动签名强制)
完善了底层方式读写磁盘的逻辑 (解决部分电脑上无法读写 MBR 的问题，遇到 GPT 分区会提示)
完善了句柄的枚举

Win64AST 1.02 正式版
删除：“隐藏进程”功能
修复：某些listview复制信息不全的问题
修复：内核模块定位错误
修复：注册表某些项目显示不全
修复：解锁文件的BUG
修复：卸载DLL的BUG
新增：进程『启动时间』、『启动参数』数据
新增：注入DLL到系统进程（SMSS.EXE和CSRSS.EXE除外）
新增：简单识别工作队列线程（信息不保证正确）
新增：读写进程内存时禁用COPY-ON-WRITE
新增：内核探索者命令（虚拟地址转换、物理地址映射等）
新增：文件管理器功能（设置文件权限、创建硬链接、查看句柄占用信息、查看重启删除列表）

2013-02-21：1.01[正式版]
01.兼容：可以在“带网络连接的安全模式”下运行（但部分和minifilter驱动有关的功能无法使用）
02.兼容：修正了与某HIPS共用时导致获取SSDT原始地址错误的问题
03.修改：手动检测MBR Rootkit改为自动检测
04.修改：高亮非微软项目（多个相关列表）
05.增强：使用“随机驱动文件名”防止某些软件根据文件名来阻止驱动加载
06.增强：结束进程
07.增强：枚举进程模块
08.增强：INLINE HOOK检测新增一些重要的未导出函数（如KiSystemCall64等）
09.新增：窗口探测器、消息洪水攻击
10.新增：自动修复MBR（穿部分还原，测试能过『雨过天晴20130111』）
11.新增：文件扇区清零（穿部分还原，测试能过『雨过天晴20130111』、『冰点7.51.20.4170』、『影子卫士1.2.0.355』、『Returnil 2011(1.0.5.5400)』）
12.新增：导出注册表项
13.新增：定位到文件/注册表（行为监视器）
14.新增：命令行参数nosafecheck（启动时不进行安全检查加快启动速度）
15.新增：显示驱动服务名、删除驱动文件以及相关注册表项目、卸载驱动
16.新增：枚举/申请/释放/转储/反汇编进程内存、修改进程内存属性、内存内容查找
17.新增：当行为监视器拦截到驱动加载时，把驱动文件复制到C盘根目录
18.新增：根据进程名保护进程
19.新增：显示指定类型文件、给文件和文件夹加上/去除“只读/隐藏/系统属性”
20.其他：图标换成了戴尔ALIENWARE品牌的图标