紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛

标题: 专用于64位Windows的ARK类工具:WIN64AST [打印本页]
作者: Tesla.Angela    时间: 2011-2-3 01:21
标题: 专用于64位Windows的ARK类工具:WIN64AST
Announcement:
WIN64AST will NOT be updated anymore. I don't want to follow tempo of Microsoft to do an endless job forever. It wastes my time, I need to save my time to do other things which are more meaningful.
Similar tools: Process Explorer, Process Hacker, Windows Kernel Explorer
The source code of WIN64AST is on sale, please click on the link for details (Chinese page).

通知:
WIN64AST将不再更新。我不想永远跟随微软的节奏来做一件没有终点的工作。我要做一些更有意义的事情。
类似的工具:Process ExplorerProcess HackerWindows Kernel Explorer
WIN64AST的源码正在销售中,请点击链接查看详情。

软件简介:
WIN64AST全称Windows x64 Advanced System Tool,是一个针对64位Windows操作系统设计的ARK类工具,本软件目前支持的系统包括WIN7/2008R2/8/2012/8.1/2012R2/10/2016。由于UI部分使用VB2010写成,所以WIN7需要安装.NET4运行库(安装包大小约为48MB,以8M的网速计算,下载时间大约为1分钟;安装时间大约为5分钟,安装完毕后不需要重启电脑,也没有任何后续麻烦;WIN8/2012以及之后的系统自带此库,不需要单独安装)。

已实现的功能:
1.进程/内存/线程/模块/句柄/窗口管理
2.内核模块查看
3.网络连接查看和禁止
4.查看/恢复SSDT和Shadow SSDT
5.扫描/恢复RING3和RING0的内联钩子
6.查看并删除消息钩子
7.查看/恢复重要驱动程序分发函数
8.查看/恢复内核对象例程钩子
9.枚举通告和回调
10.枚举I/O定时器
11.枚举DPC定时器
12.枚举MiniFilter/失效MiniFilter的回调函数
13.枚举/摘除过滤驱动
14.查看/备份/恢复/自动修复主引导记录(MBR)
15.进程行为监视(创建进程/创建线程/加载驱动/修改注册表/改动文件系统/连接网络/修改时间)
16.内核内存编辑
17.在驱动里枚举文件、强制新建/解锁/删除/破坏文件
18.在驱动里枚举注册表、强制删除/新建/重命名注册表键(KEY)和注册表值(VALUE)
19.禁止创建进程/禁止创建文件/禁止创建注册表键(KEY)和注册表值(VALUE)/禁止加载驱动
20.校验文件签名
21.枚举/恢复中断描述符表钩子
22.枚举全局描述符表
23.显示特殊寄存器的值
24.检测进程的IAT钩子和EAT钩子
25.查看/备份/恢复/自动修复卷引导记录(VBR)
26.网络防火墙
27.枚举/删除SPI、BHO、IE右键菜单
28.DLL/驱动加载器
29.枚举/删除自启动项、枚举/编辑文件关联
30.枚举/恢复内核回调表
31.PE文件查看器
32.证书拉黑工具

最新版本下载(2017-11-05,1.19,支持WIN10-16299):
https://pan.baidu.com/s/1skNHd9r
https://pan.baidu.com/s/1hspJHOw(包含.NET4库,带一键式安装,适合没有.NET4的WIN7)

我在第三方论坛发的帖子:
http://bbs.kafan.cn/thread-1426416-1-1.html
http://www.kernelmode.info/forum/viewtopic.php?f=11&t=1691
作者: ok100fen    时间: 2011-2-3 14:07
下来看看

3qlz
作者: ok100fen    时间: 2011-2-3 14:08
可惜
我系统不是64位的

测试不了
作者: 紫瞳魔圣    时间: 2011-5-27 11:35
做成界面会好些...中文会更好...
作者: LittlePig    时间: 2011-8-29 22:57
1、直接双击默认非管理员权限……运行时提示“句柄无效”……
2、话说这纯英文界面看着好装13……
3、5、6、7是神马情况……空架子占位?
4、设置里面你确定要用“you'd better”?这货的语气很生硬的说……
5、进入“Kernel module viewer”选择2之后程序会先打出一个表头,但是需要等一段时间才会显示内容……我差点以为程序挂了= =

以上,目前体验,完毕。求分~:lol
作者: Tesla.Angela    时间: 2011-8-29 23:52
LittlePig 发表于 2011-8-29 22:57
1、直接双击默认非管理员权限……运行时提示“句柄无效”……
2、话说这纯英文界面看着好装13……
3、5、 ...

十分感谢你的测评,此程序的BUG很多,我有时间一定会尽力完善。。。
有些功能是我准备添加的(但是还没有添加),我的主要工作不是这个,所以先占着位。。。
关于语言的事情,我出正式版时才会搞个中文版,但是我之前只出过ES版,连QS版都没有出过。。。
作者: LittlePig    时间: 2011-8-30 11:29
Tesla.Angela 发表于 2011-8-29 23:52
十分感谢你的测评,此程序的BUG很多,我有时间一定会尽力完善。。。
有些功能是我准备添加的(但是还没有 ...

………………你这程序只要别用着半截给我蓝屏就行………………
(要感谢的话……你得感谢我那个买东西从来没买对过的家长……是他们把T420变成了T520……还64位的……要不然我也测不了……囧)
作者: Tesla.Angela    时间: 2011-8-30 14:50
LittlePig 发表于 2011-8-30 11:29
………………你这程序只要别用着半截给我蓝屏就行………………
(要感谢的话……你得感谢我那个买东西从 ...

没有驱动的版本应该不会蓝屏。
另外EM64T技术早就有了,简单点说就是,自从2006年开始,所有的CPU都支持安装64位系统。
如果是64位虚拟机,需要VT技术的支持,AMD方面不清楚,如果是INTEL,部分高端的CORE 2和全部的CORE i都支持VT。
作者: LittlePig    时间: 2011-8-31 00:35
Tesla.Angela 发表于 2011-8-30 14:50
没有驱动的版本应该不会蓝屏。
另外EM64T技术早就有了,简单点说就是,自从2006年开始,所有的CPU都支持 ...

………………
作者: vincenx    时间: 2012-2-18 17:23
好像很不错啊,下来用用
作者: 乔丹二世    时间: 2012-2-20 17:46
就在这里发布有什么用啊,我帮你在卡饭上宣传一下,算你小子欠我一顿饭钱!
作者: 乔丹二世    时间: 2012-2-20 18:28
已经帮你宣传了,http://bbs.kafan.cn/thread-1227522-1-1.html
下次一定要请吃饭,否则饶不了你{:soso_e128:}
作者: Tesla.Angela    时间: 2012-2-20 20:43
乔丹二世 发表于 2012-2-20 18:28
已经帮你宣传了,http://bbs.kafan.cn/thread-1227522-1-1.html
下次一定要请吃饭,否则饶不了你{:soso_e12 ...

看来我不用请你吃一分钱的饭了,因为你的帖子被删除了。。。
其实这个软件也不是商业软件,宣传来没什么意义啊,人家玩人家的,我玩我的,所以真的没必要宣传什么。。。
作者: wenh7788    时间: 2012-2-21 17:05
本帖最后由 wenh7788 于 2012-2-21 17:06 编辑

Win7 x64 sp1

命令行的那个程序(话说你怎么是.netframework 4.0+)
Input your selection:
我选择1
boom!程序崩掉~~~{:soso_e144:}
选择5
It will be coming soon...
就soon不出来了~~

老大加油~~{:soso_e142:}
作者: Tesla.Angela    时间: 2012-2-21 17:46
wenh7788 发表于 2012-2-21 17:05
Win7 x64 sp1

命令行的那个程序(话说你怎么是.netframework 4.0+)

郁闷,怎么还下载0.03版本。。。应该下载0.04版本。。。
作者: wenh7788    时间: 2012-2-23 11:59
本帖最后由 wenh7788 于 2012-2-23 12:03 编辑

老大啊,我建议你还是不要去考虑数字签名的问题了,这个真心只要是花钱就可以搞定的。所以不要这么纠结了。

最新的程序我试验过了,只要加了数字签名貌似就比较正常了。ssdt的地方也不会莫名其妙的报错了。老大放些ssdt的代码吧,或是开个帖子讨论下patchguard的原理,从根本入手啊~~老大~~


PS
SSDT 那个地方的 Index 咱能排序下吗?
作者: Tesla.Angela    时间: 2012-2-24 12:45
wenh7788 发表于 2012-2-23 11:59
老大啊,我建议你还是不要去考虑数字签名的问题了,这个真心只要是花钱就可以搞定的。所以不要这么纠结了。 ...

谢谢你的建议
作者: wenh7788    时间: 2012-2-28 17:40
本帖最后由 wenh7788 于 2012-2-28 18:35 编辑

老大 我错了 请 无视我,谢谢。
作者: iloveqqp    时间: 2012-3-7 11:56
感谢老大提供

Win7 x64 专业版测试一切OK

不过有个小问题   SSDT Index似乎是乱序的  

是Win7 64bit原本如此??

再次感谢提供好工具{:soso_e100:}
作者: Tesla.Angela    时间: 2012-3-7 13:40
iloveqqp 发表于 2012-3-7 11:56
感谢老大提供

Win7 x64 专业版测试一切OK

确实是乱序的。
简单而言,假如你要按照【函数的字母顺序】排列的话,那么INDEX就是乱序的。
如果你要按照【INDEX排序的话】,那些函数的字母顺序就是乱序的。
作者: hackxl    时间: 2012-3-20 14:40
太贵啦,没钱下源码和工具啊
作者: kevinqq    时间: 2012-3-20 16:27
看下
作者: Tesla.Angela    时间: 2012-3-20 18:58
hackxl 发表于 2012-3-20 14:40
太贵啦,没钱下源码和工具啊

下载这个根本不需要论坛币。
作者: kyx114    时间: 2012-4-18 15:33
不知道,有人遇到这种情况没有
作者: Tesla.Angela    时间: 2012-4-18 15:39
kyx114 发表于 2012-4-18 15:33
不知道,有人遇到这种情况没有

如果点击了『continue』还是不断出现,那就是说明驱动没有加载成功或者驱动通信失败!
在WIN64上加载无签名驱动不是这么简单的,请仔细看贴!!!
作者: Bambo    时间: 2012-5-2 17:15
弄一个晚上研究下。
作者: wqs3568    时间: 2012-5-9 11:36
楼主乃超级蒙牛也,无颜的膜拜。期待楼主的中文正式版!
作者: wqs3568    时间: 2012-5-9 11:39
TA加油啊,不要让PT大大压过你了啊。思路及驱动签名可都是你给的哦
作者: Tesla.Angela    时间: 2012-5-9 16:53
wqs3568 发表于 2012-5-9 11:39
TA加油啊,不要让PT大大压过你了啊。思路及驱动签名可都是你给的哦

PT X64的不少核心代码都是我给PT作者的。

不过驱动器名不是我给的,是别人给的。
作者: 小叮当    时间: 2012-5-20 20:01
终于找到64位版本的啦,O(∩_∩)O哈哈~
作者: jzy1115    时间: 2012-6-1 12:56
64 位系统还有System32文件夹,应该是System64
作者: wsnhyjj    时间: 2012-6-13 21:02
64位就是纠结啊
作者: LittlePig    时间: 2012-7-22 13:16
jzy1115 发表于 2012-6-1 12:56
64 位系统还有System32文件夹,应该是System64

64位下的x86程序读取system32会被重定位到syswow64
作者: DevilLiao    时间: 2012-11-1 12:58
好用。
作者: j90141355    时间: 2020-10-2 23:08
站长好久没更新过了。嘿嘿



欢迎光临 紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛 (http://www.m5home.com/bbs/) Powered by Discuz! X3.4