Rootkit 通常是指加载到操作系统内核中的恶意软件,因为其代码运行在特权模式之下,极具危险性。有 Rootkit,就需要 Anti Rootkit,用到的就是 ARK 工具。 针对32位的 Windows XP 或 Windows 7 系统,已经有很多成熟的工具了,比如冰刃、早期的冰刃(IceSword)、Wsyscheck、到后来的狙剑(SnipeSword)、XueTr,还有最近很给力的 PowerTool 等,但是64位操作系统下的 ARK 工具发展相对缓慢,三个月之前 IThurricane 才发布了 PowerTool 64位版,并支持 Windows 8。 而 Tesla.Angela 开发的 Win64AST 是另一款、也可能是全球第一个专用于64位系统的内核级的高级系统工具,由于使用了特殊的内核技术,WIN64AST 能够从底层控制系统,有很大的操作权限,是一个强大的 Anti Rootkit 工具,能够查看并管理64位 Windows 系统的各种内核信息,可用于手工杀毒、辅助调试、内核研究等。 Win64AST 全称 Win64 Advanced System Tool,支持 Windows 7 x64、Windows 8 x64 和 Windows 2008 R2,目前实现的功能就有:进程/线程/模块/句柄/窗口管理、查看内核模块、查看进程的端口、查看并恢复 SSDT 和 Shadow SSDT、查看并删除消息钩子、强制解锁/删除文件、强制删除注册表键/值、禁止创建进程/文件/注册表键值、禁止加载驱动、校验文件签名、扫描并恢复 RING3/RING0 的 INLINE HOOK、内核内存编辑、枚举回调、进程行为监视等。 使用说明:2012/12/12 更新版本为 Win64AST 1.00 Beta5,下载后直接运行 Win64AST.exe 即可,注意 Win64AST 需要安装 .NET Framework 4 方可运行。 Tesla.Angela 说明了 WIN64AST 与 PowerTool x64 的不同之处: PowerTool 的作者 ithurricane 大牛把 PowerTool 定位为「手动杀毒工具」,主要用于手动杀毒;而我把 Win64AST 定位为「高级系统工具」,里面有部分 ARK 功能,也有部分 RK 的功能(比如:隐藏进程、保护进程和强制修改进程内存,将来可能还会添加更多的功能),可用于辅助研究 Win64 内核,也可以干一些“邪恶”的事情,比如辅助游戏多开等,推荐两者一起使用。 Win64AST 1.00 [BETA5] 更新日志: * 新增枚举FSD分发函数 * 新增枚举内核对象 * 新增枚举I/O定时器和DPC定时器 * 新增枚举MiniFilter和过滤驱动 * 新增枚举Object回调 * 新增网络连接远程IP地理地址检测 * 新增检测MBR ROOTKIT(目前还很弱,以后慢慢增强) Win64AST 下载信息 官方网站:win64ast.m5home.com 解压密码:www.portablesoft.org 压缩包MD5:49CEEAE7DBD2AC29BCAEBDF52A5BB3E9 开始下载 Win64AST 1.00 Beta5 简体中文绿色免费版 WIN64AST_1.00_Beta5_PortableSoft.rar | 1.15 MB 来自精品绿色便携软件 | 进入软件下载页面 | 历史版本 警告:Win64AST 极易被杀毒软件报毒,建议您关闭杀毒软件再使用本软件,如果发现运行不正常,请仔细看说明文件寻找解决方案。你可能喜欢 PowerTool 4.3:内核级的手动杀毒、进程管理工具(42) LockHunter绿色免费版 - 解除文件锁定(12) XueTr绿色便携版:强大的手工杀毒辅助工具(31) NirLauncher:便携式NirSoft软件合集(32) 系统优化、清理软件新秀:360Amigo System Speedup中文绿色版(43) 文件/文件夹强制删除工具:IObit Unlocker绿色版(36) Process Lasso 6.0.1.76 - 最有效的系统性能实时优化工具(38) 高效磁盘碎片整理工具 - O&O Defrag Pro 16.0.151汉化绿色版(58) [速报] 虚拟机安装Windows 8出现0xc0000260错误的解决方法(16) [旧闻新知] SuperFetch – 让你的Windows 7越用越快(28)
