64位内核系统文件工具(Win64AST) 1.10 绿色版 xx

Win64AST是全球第一个专用于64位系统的内核级的高级系统工具，由于使用了特殊的内核技术，WIN64AST 能够从底层控制系统，有很大的操作权限，是一个强大的Anti Rootkit工具。目前该功能仅支持 Windows 7 x64 和 Windows 2008 R2。

【功能说明】

1.进程/线程/模块/句柄/窗口管理
2.查看内核模块
3.查看端口
4.查看并恢复 SSDT 和 Shadow SSDT
5.查看并删除消息钩子
6.强制解锁/删除文件
7.禁止创建进程/线程/文件/注册表项/注册表键值
8.校验文件签名

【更新日志】

Win64AST 1.03
支持Windows 8.1
动态禁用 Driver Signature Enforcement (驱动签名强制)
完善了底层方式读写磁盘的逻辑 (解决部分电脑上无法读写 MBR 的问题，遇到 GPT 分区会提示)
完善了句柄的枚举

Win64AST 1.02 更新说明:
1.兼容：可以在“带网络连接的安全模式”下运行（但部分和minifilter驱动有关的功能无法使用）
2.兼容：修正了与某HIPS共用时导致获取SSDT原始地址错误的问题
3.修改：手动检测MBR Rootkit改为自动检测
4.修改：高亮非微软项目（多个相关列表）
5.增强：使用“随机驱动文件名”防止某些软件根据文件名来阻止驱动加载
6.增强：结束进程
7.增强：枚举进程模块
8.增强：INLINE HOOK检测新增一些重要的未导出函数（如KiSystemCall64等）
9.新增：窗口探测器、消息洪水攻击
10.新增：自动修复MBR（穿部分还原，测试能过『雨过天晴20130111』）
11.新增：文件扇区清零（穿部分还原，测试能过『雨过天晴20130111』、『冰点7.51.20.4170』、『影子卫士1.2.0.355』等）
12.新增：导出注册表项
13.新增：定位到文件/注册表（行为监视器）
14.新增：命令行参数nosafecheck（启动时不进行安全检查加快启动速度）
15.新增：显示驱动服务名、删除驱动文件以及相关注册表项目、卸载驱动
16.新增：枚举/申请/释放/转储/反汇编进程内存、修改进程内存属性、内存内容查找
17.新增：当行为监视器拦截到驱动加载时，把驱动文件复制到C盘根目录
18.新增：根据进程名保护进程
19.新增：显示指定类型文件、给文件和文件夹加上/去除“只读/隐藏/系统属性”
20.其他：图标换成了戴尔ALIENWARE品牌的图标

2013-02-21：1.01[正式版]
01.兼容：可以在“带网络连接的安全模式”下运行（但部分和minifilter驱动有关的功能无法使用）
02.兼容：修正了与某HIPS共用时导致获取SSDT原始地址错误的问题
03.修改：手动检测MBR Rootkit改为自动检测
04.修改：高亮非微软项目（多个相关列表）
05.增强：使用“随机驱动文件名”防止某些软件根据文件名来阻止驱动加载
06.增强：结束进程
07.增强：枚举进程模块
08.增强：INLINE HOOK检测新增一些重要的未导出函数（如KiSystemCall64等）
09.新增：窗口探测器、消息洪水攻击
10.新增：自动修复MBR（穿部分还原，测试能过『雨过天晴20130111』）
11.新增：文件扇区清零（穿部分还原，测试能过『雨过天晴20130111』、『冰点7.51.20.4170』、『影子卫士1.2.0.355』、『Returnil 2011(1.0.5.5400)』）
12.新增：导出注册表项
13.新增：定位到文件/注册表（行为监视器）
14.新增：命令行参数nosafecheck（启动时不进行安全检查加快启动速度）
15.新增：显示驱动服务名、删除驱动文件以及相关注册表项目、卸载驱动
16.新增：枚举/申请/释放/转储/反汇编进程内存、修改进程内存属性、内存内容查找
17.新增：当行为监视器拦截到驱动加载时，把驱动文件复制到C盘根目录
18.新增：根据进程名保护进程
19.新增：显示指定类型文件、给文件和文件夹加上/去除“只读/隐藏/系统属性”
20.其他：图标换成了戴尔ALIENWARE品牌的图标

Win64AST 1.00 正式版更新日志：

新增文件管理功能
新增注册表编辑

2013-01-01：1.00[BETA6]
1.新增“废除回调函数”功能
2.新增枚举/恢复IDT钩子
3.新增扫描/恢复进程的IAT钩子和EAT钩子
4.新增枚举/恢复ClassPNP.sys、ATAPI.sys、NDIS.sys、TCPIP.sys的分发函数
5.新增查看特殊寄存器的值
6.新增枚举全局描述符表
7.内核探索者新增10条命令
8.行为监视器新增“排除指定PID”功能，信息显示上更加详细