论坛广场 › TA's Software › 专用于64位Windows的ARK类工具：WIN64AST

Tesla.Angela 发表于 2011-2-3 01:21:35

专用于64位Windows的ARK类工具：WIN64AST

Announcement:
WIN64AST will NOT be updated anymore. I don't want to follow tempo of Microsoft to do an endless job forever. It wastes my time, I need to save my time to do other things which are more meaningful.
Similar tools: Process Explorer, Process Hacker, Windows Kernel Explorer
The source code of WIN64AST is on sale, please click on the link for details (Chinese page).

通知：
WIN64AST将不再更新。我不想永远跟随微软的节奏来做一件没有终点的工作。我要做一些更有意义的事情。
类似的工具：Process Explorer、Process Hacker、Windows Kernel Explorer
WIN64AST的源码正在销售中，请点击链接查看详情。

软件简介：
WIN64AST全称Windows x64 Advanced System Tool，是一个针对64位Windows操作系统设计的ARK类工具，本软件目前支持的系统包括WIN7/2008R2/8/2012/8.1/2012R2/10/2016。由于UI部分使用VB2010写成，所以WIN7需要安装.NET4运行库（安装包大小约为48MB，以8M的网速计算，下载时间大约为1分钟；安装时间大约为5分钟，安装完毕后不需要重启电脑，也没有任何后续麻烦；WIN8/2012以及之后的系统自带此库，不需要单独安装）。

已实现的功能：
1.进程/内存/线程/模块/句柄/窗口管理
2.内核模块查看
3.网络连接查看和禁止
4.查看/恢复SSDT和Shadow SSDT
5.扫描/恢复RING3和RING0的内联钩子
6.查看并删除消息钩子
7.查看/恢复重要驱动程序分发函数
8.查看/恢复内核对象例程钩子
9.枚举通告和回调
10.枚举I/O定时器
11.枚举DPC定时器
12.枚举MiniFilter/失效MiniFilter的回调函数
13.枚举/摘除过滤驱动
14.查看/备份/恢复/自动修复主引导记录(MBR)
15.进程行为监视（创建进程/创建线程/加载驱动/修改注册表/改动文件系统/连接网络/修改时间）
16.内核内存编辑
17.在驱动里枚举文件、强制新建/解锁/删除/破坏文件
18.在驱动里枚举注册表、强制删除/新建/重命名注册表键(KEY)和注册表值(VALUE)
19.禁止创建进程/禁止创建文件/禁止创建注册表键(KEY)和注册表值(VALUE)/禁止加载驱动
20.校验文件签名
21.枚举/恢复中断描述符表钩子
22.枚举全局描述符表
23.显示特殊寄存器的值
24.检测进程的IAT钩子和EAT钩子
25.查看/备份/恢复/自动修复卷引导记录(VBR)
26.网络防火墙
27.枚举/删除SPI、BHO、IE右键菜单
28.DLL/驱动加载器
29.枚举/删除自启动项、枚举/编辑文件关联
30.枚举/恢复内核回调表
31.PE文件查看器
32.证书拉黑工具
最新版本下载（2017-11-05，1.19，支持WIN10-16299）：
https://pan.baidu.com/s/1skNHd9r
https://pan.baidu.com/s/1hspJHOw（包含.NET4库，带一键式安装，适合没有.NET4的WIN7）
我在第三方论坛发的帖子：
http://bbs.kafan.cn/thread-1426416-1-1.html
http://www.kernelmode.info/forum/viewtopic.php?f=11&t=1691

ok100fen 发表于 2011-2-3 14:07:49

下来看看

3qlz

ok100fen 发表于 2011-2-3 14:08:30

可惜
我系统不是64位的

测试不了

紫瞳魔圣 发表于 2011-5-27 11:35:27

做成界面会好些...中文会更好...

LittlePig 发表于 2011-8-29 22:57:05

1、直接双击默认非管理员权限……运行时提示“句柄无效”……
2、话说这纯英文界面看着好装13……
3、5、6、7是神马情况……空架子占位？
4、设置里面你确定要用“you'd better”？这货的语气很生硬的说……
5、进入“Kernel module viewer”选择2之后程序会先打出一个表头，但是需要等一段时间才会显示内容……我差点以为程序挂了= =

以上，目前体验，完毕。求分~:lol

Tesla.Angela 发表于 2011-8-29 23:52:44

LittlePig 发表于 2011-8-29 22:57 static/image/common/back.gif
1、直接双击默认非管理员权限……运行时提示“句柄无效”……
2、话说这纯英文界面看着好装13……
3、5、 ...

十分感谢你的测评，此程序的BUG很多，我有时间一定会尽力完善。。。
有些功能是我准备添加的（但是还没有添加），我的主要工作不是这个，所以先占着位。。。
关于语言的事情，我出正式版时才会搞个中文版，但是我之前只出过ES版，连QS版都没有出过。。。

LittlePig 发表于 2011-8-30 11:29:37

Tesla.Angela 发表于 2011-8-29 23:52 static/image/common/back.gif
十分感谢你的测评，此程序的BUG很多，我有时间一定会尽力完善。。。
有些功能是我准备添加的（但是还没有 ...

………………你这程序只要别用着半截给我蓝屏就行………………
（要感谢的话……你得感谢我那个买东西从来没买对过的家长……是他们把T420变成了T520……还64位的……要不然我也测不了……囧）

Tesla.Angela 发表于 2011-8-30 14:50:59

LittlePig 发表于 2011-8-30 11:29 static/image/common/back.gif
………………你这程序只要别用着半截给我蓝屏就行………………
（要感谢的话……你得感谢我那个买东西从 ...

没有驱动的版本应该不会蓝屏。
另外EM64T技术早就有了，简单点说就是，自从2006年开始，所有的CPU都支持安装64位系统。
如果是64位虚拟机，需要VT技术的支持，AMD方面不清楚，如果是INTEL，部分高端的CORE 2和全部的CORE i都支持VT。

LittlePig 发表于 2011-8-31 00:35:31

Tesla.Angela 发表于 2011-8-30 14:50 static/image/common/back.gif
没有驱动的版本应该不会蓝屏。
另外EM64T技术早就有了，简单点说就是，自从2006年开始，所有的CPU都支持 ...

………………

vincenx 发表于 2012-2-18 17:23:07

好像很不错啊，下来用用

乔丹二世 发表于 2012-2-20 17:46:58

就在这里发布有什么用啊，我帮你在卡饭上宣传一下，算你小子欠我一顿饭钱！

乔丹二世 发表于 2012-2-20 18:28:15

已经帮你宣传了，http://bbs.kafan.cn/thread-1227522-1-1.html
下次一定要请吃饭，否则饶不了你{:soso_e128:}

Tesla.Angela 发表于 2012-2-20 20:43:11

乔丹二世 发表于 2012-2-20 18:28 static/image/common/back.gif
已经帮你宣传了，http://bbs.kafan.cn/thread-1227522-1-1.html
下次一定要请吃饭，否则饶不了你{:soso_e12 ...

看来我不用请你吃一分钱的饭了，因为你的帖子被删除了。。。
其实这个软件也不是商业软件，宣传来没什么意义啊，人家玩人家的，我玩我的，所以真的没必要宣传什么。。。

wenh7788 发表于 2012-2-21 17:05:22

本帖最后由 wenh7788 于 2012-2-21 17:06 编辑

Win7 x64 sp1

命令行的那个程序（话说你怎么是.netframework 4.0+）
Input your selection:
我选择1
boom!程序崩掉～～～{:soso_e144:}
选择5
It will be coming soon...
就soon不出来了~~

老大加油～～{:soso_e142:}

Tesla.Angela 发表于 2012-2-21 17:46:49

wenh7788 发表于 2012-2-21 17:05 static/image/common/back.gif
Win7 x64 sp1

命令行的那个程序（话说你怎么是.netframework 4.0+）


郁闷，怎么还下载0.03版本。。。应该下载0.04版本。。。

wenh7788 发表于 2012-2-23 11:59:18

本帖最后由 wenh7788 于 2012-2-23 12:03 编辑

老大啊，我建议你还是不要去考虑数字签名的问题了，这个真心只要是花钱就可以搞定的。所以不要这么纠结了。

最新的程序我试验过了，只要加了数字签名貌似就比较正常了。ssdt的地方也不会莫名其妙的报错了。老大放些ssdt的代码吧，或是开个帖子讨论下patchguard的原理，从根本入手啊～～老大～～


PS
SSDT 那个地方的 Index 咱能排序下吗？

Tesla.Angela 发表于 2012-2-24 12:45:08

wenh7788 发表于 2012-2-23 11:59 static/image/common/back.gif
老大啊，我建议你还是不要去考虑数字签名的问题了，这个真心只要是花钱就可以搞定的。所以不要这么纠结了。 ...

谢谢你的建议

wenh7788 发表于 2012-2-28 17:40:08

本帖最后由 wenh7788 于 2012-2-28 18:35 编辑

老大 我错了 请 无视我，谢谢。

iloveqqp 发表于 2012-3-7 11:56:34

感谢老大提供

Win7 x64 专业版测试一切OK

不过有个小问题   SSDT Index似乎是乱序的

是Win7 64bit原本如此??

再次感谢提供好工具{:soso_e100:}

Tesla.Angela 发表于 2012-3-7 13:40:53

iloveqqp 发表于 2012-3-7 11:56 static/image/common/back.gif
感谢老大提供

Win7 x64 专业版测试一切OK


确实是乱序的。
简单而言，假如你要按照【函数的字母顺序】排列的话，那么INDEX就是乱序的。
如果你要按照【INDEX排序的话】，那些函数的字母顺序就是乱序的。

hackxl 发表于 2012-3-20 14:40:12

太贵啦，没钱下源码和工具啊

kevinqq 发表于 2012-3-20 16:27:01

看下

Tesla.Angela 发表于 2012-3-20 18:58:23

hackxl 发表于 2012-3-20 14:40 static/image/common/back.gif
太贵啦，没钱下源码和工具啊

下载这个根本不需要论坛币。

kyx114 发表于 2012-4-18 15:33:33

不知道，有人遇到这种情况没有

Tesla.Angela 发表于 2012-4-18 15:39:28

kyx114 发表于 2012-4-18 15:33 static/image/common/back.gif
不知道，有人遇到这种情况没有

如果点击了『continue』还是不断出现，那就是说明驱动没有加载成功或者驱动通信失败！
在WIN64上加载无签名驱动不是这么简单的，请仔细看贴！！！

Bambo 发表于 2012-5-2 17:15:49

弄一个晚上研究下。

wqs3568 发表于 2012-5-9 11:36:36

楼主乃超级蒙牛也，无颜的膜拜。期待楼主的中文正式版！

wqs3568 发表于 2012-5-9 11:39:17

TA加油啊，不要让PT大大压过你了啊。思路及驱动签名可都是你给的哦

Tesla.Angela 发表于 2012-5-9 16:53:32

wqs3568 发表于 2012-5-9 11:39 static/image/common/back.gif
TA加油啊，不要让PT大大压过你了啊。思路及驱动签名可都是你给的哦

PT X64的不少核心代码都是我给PT作者的。

不过驱动器名不是我给的，是别人给的。

小叮当 发表于 2012-5-20 20:01:31

终于找到64位版本的啦，O(∩_∩)O哈哈~

jzy1115 发表于 2012-6-1 12:56:32

64 位系统还有System32文件夹，应该是System64

wsnhyjj 发表于 2012-6-13 21:02:45

64位就是纠结啊

查看完整版本: 专用于64位Windows的ARK类工具：WIN64AST