Windows内核工具Win64AST初步使用
简介
Win64AST专用于64位 Windows 的 ARK 类工具,能够查看并管理64位 Windows 系统的各种内核信息,可用于手工杀毒、辅助调试、内核研究等。
Rootkit 通常是指加载到操作系统内核中的恶意软件,因为其代码运行在特权模式之下,极具危险性。有 Rootkit,就需要 Anti Rootkit,用到的就是 ARK 工具。
Win64AST 全称 Win64 Advanced System Tool,支持 Windows 7 x64、Windows 8 x64 和 Windows 2008 R2。
初步使用
下载之后打开看一下;自带一个dll和驱动程序,.sys这个是驱动程序;
进程;
多了PPID栏,不知是啥,下回再整; EPROCESS栏,应该是进程EPROCESS结构体的地址;
驱动程序;列出所有;
有基地址和入口点地址;看一下驱动程序多数是.sys后缀,也有少量是.dll或.exe后缀;
怎么把dll或exe弄成一个驱动?有时间再整;
钩子;
看一下Shadow SSDT,钩了这个表;Function,这是钩的函数;有当前地址-Current Address,Original Address-原来地址;就是把原来的地址替换了;地址存的是要调用函数的地址,替换以后调用的函数就改变了; 系统中有这么多 Shadow SSDT 钩子,我也不知道干啥的;好人可以干这事,坏人也可以干这事;
消息钩子;
Type,这是钩的消息名称;这个应该是全局消息钩子;比如mspaint.exe钩了WH_CBT,那么在所有程序收到此消息之前,mspaint.exe会先收到;
寄存器;功能介绍说可以查看特殊寄存器值,这个应该就是了;
行为监控;
默认禁止;可以选择要监控的行为,如进程创建、访问注册表等,然后使能功能;
Rootkit 功能;
没用过;看界面可以加载驱动程序;
软件的设置;
没用过;底层磁盘访问模式,正常、强、Extreme,三种;如果要尝试切换一定先保存正在操作的内容;我刚切到Strong Mode,直接蓝屏了;
先到这里;
Windows内核工具Win64AST初步使用相关推荐
- 病毒分析系列2 | 使用PE工具进行初步静态分析
前言 接上篇.进行病毒分析时,在进行具体的病毒行为分析前,需要或许可疑文件的基本信息,此时可以使用pe工具进行分析和获取 基本静态信息获取 一般需要获取的信息包括但不限于: 程序哈希值 导入函数表 导 ...
- Windows内核函数的命名
<Windows内核情景分析--采用开源代码ReactOS(上.下册)>本书通过分析ReactOS的源代码介绍了Windows内核各个方面的结构.功能.算法与具体实现.本小节为大家介绍Wi ...
- Windows内核新手上路2——挂钩shadow SSDT
Windows内核新手上路2--挂钩shadow SSDT 文章核心内容:安全软件窗口保护.安全输入.截屏保护的一些思路.挂钩NtUserFindWindowEx.NtUserGetForegroun ...
- Windows内核HAL相关学习
1 硬件抽象层HAL 硬件抽象层是系统可移植的关键.HAL是一个可加载的,内模式模块提供了windows当前运行平台的低层接口.它隐藏了与 硬件相关的细节,如I/O接口,中断控制器,以及多处理器通信机 ...
- Windows内核系统调用分析
系统调用 进程 --> 调用OS API:OS进程管理 --> 调配进程. 仅从用户进程角度,OS就像是一个被动响应的运行时库.Windows提供了一个系统调用界面作为外层,即Win32A ...
- Windows 内核(WRK)简介
引子 WRK 是微软于 2006 年针对教育和学术界开放的 Windows 内核的部分源码, WRK(Windows Research Kernel)也就是 Windows 研究内核, 在 WRK 中 ...
- Linux 内核 vs Windows 内核
Windows 和 Linux 可以说是我们比较常见的两款操作系统的. Windows 基本占领了电脑时代的市场,商业上取得了很大成功,但是它并不开源,所以要想接触源码得加入 Windows 的开发团 ...
- 自己制作Windows PE工具盘
自己制作Windows PE工具盘 2007-04-13 20:46:47 标签: Windows PE工具盘 Windows PE的 全称为Windows Preinstallation Envi ...
- 寒江独钓Windows内核编程-双机调试1
今天总结一下关于双机调试,前面一直使用的是DDK包进行NT式与WDM式驱动入门,至今已进入使用WDK包进行编程了,DDK包早已落后我只作为入门因为大体内容变化不大.我使用的书是<寒江独钓Wind ...
最新文章
- Spring Boot学习笔记-基础(2)
- Error - Found cycle in the ListNode
- Java判断一个整数是否为水仙花数
- jpg png webp_为在线图像删除PNG和JPG:使用WebP
- Mysql的去重distinct
- python字符串方法总结_python字符串函数总结
- 拓端tecdat|R语言样条曲线、决策树、Adaboost、梯度提升(GBM)算法进行回归、分类和动态可视化
- python:只想在opencv中显示红色通道?
- hadoop集群配置和在windows系统上运用java操作hdfs
- javascript 函数2——对象排序
- apicloud apploader 连接失败
- SuperMap iDesktop之夜景特效制作
- 确定你的电脑是否支持安装64位操作系统
- hash冲突的解决方法
- 苏宁易购实现逆势增长,但它的非电业务更超出意料
- 当powergui fft 中empty
- redis-trib.rb命令详解
- word标题级别与编号不关联的处理办法
- OSChina 周六乱弹 —— 成功的解决了发现问题的人
- linux查看照片命令,php 及 linux 命令行方式读取 图片 exif 信息
热门文章
- U-BOOT介绍以及disk模块源码分析
- 开启Apache mod_rewrite模块完全解答
- 题目:三个售票员 卖出 30张票 || 多线程编程的企业级套路+模板||synchronized与Lock的区别
- springboot 启动分析【难点】——如何自动扫描 @SpringBootApplication||如何加载自动配置类 @EnableAutoConfiguration||如何加载前端控制器
- MySQL 数据库linux系统下修改配置文件设置mysql是否大小写敏感实例演示
- C# 学习笔记(13)自己的串口助手
- 结构对齐--__packed与#pragma pack
- 制作简易的LED闪烁测试工具
- python join字符连接函数的使用方法
- ismember--检测集合中的元素