简介

Win64AST专用于64位 Windows 的 ARK 类工具，能够查看并管理64位 Windows 系统的各种内核信息，可用于手工杀毒、辅助调试、内核研究等。

Rootkit 通常是指加载到操作系统内核中的恶意软件，因为其代码运行在特权模式之下，极具危险性。有 Rootkit，就需要 Anti Rootkit，用到的就是 ARK 工具。

Win64AST 全称 Win64 Advanced System Tool，支持 Windows 7 x64、Windows 8 x64 和 Windows 2008 R2。

初步使用

下载之后打开看一下；自带一个dll和驱动程序，.sys这个是驱动程序；

进程；

多了PPID栏，不知是啥，下回再整； EPROCESS栏，应该是进程EPROCESS结构体的地址；

驱动程序；列出所有；

有基地址和入口点地址；看一下驱动程序多数是.sys后缀，也有少量是.dll或.exe后缀；

怎么把dll或exe弄成一个驱动？有时间再整；

钩子；

看一下Shadow SSDT，钩了这个表；Function，这是钩的函数；有当前地址-Current Address，Original Address-原来地址；就是把原来的地址替换了；地址存的是要调用函数的地址，替换以后调用的函数就改变了； 系统中有这么多 Shadow SSDT 钩子，我也不知道干啥的；好人可以干这事，坏人也可以干这事；

消息钩子；

Type，这是钩的消息名称；这个应该是全局消息钩子；比如mspaint.exe钩了WH_CBT，那么在所有程序收到此消息之前，mspaint.exe会先收到；

寄存器；功能介绍说可以查看特殊寄存器值，这个应该就是了；

行为监控；

默认禁止；可以选择要监控的行为，如进程创建、访问注册表等，然后使能功能；

Rootkit 功能；

没用过；看界面可以加载驱动程序；

软件的设置；

没用过；底层磁盘访问模式，正常、强、Extreme，三种；如果要尝试切换一定先保存正在操作的内容；我刚切到Strong Mode，直接蓝屏了；

先到这里；

Windows内核工具Win64AST初步使用相关推荐

1. 病毒分析系列2 | 使用PE工具进行初步静态分析

   前言 接上篇.进行病毒分析时,在进行具体的病毒行为分析前,需要或许可疑文件的基本信息,此时可以使用pe工具进行分析和获取 基本静态信息获取 一般需要获取的信息包括但不限于: 程序哈希值 导入函数表 导 ...

2. Windows内核函数的命名

   <Windows内核情景分析--采用开源代码ReactOS(上.下册)>本书通过分析ReactOS的源代码介绍了Windows内核各个方面的结构.功能.算法与具体实现.本小节为大家介绍Wi ...

3. Windows内核新手上路2——挂钩shadow SSDT

   Windows内核新手上路2--挂钩shadow SSDT 文章核心内容:安全软件窗口保护.安全输入.截屏保护的一些思路.挂钩NtUserFindWindowEx.NtUserGetForegroun ...

4. Windows内核HAL相关学习

   1 硬件抽象层HAL 硬件抽象层是系统可移植的关键.HAL是一个可加载的,内模式模块提供了windows当前运行平台的低层接口.它隐藏了与 硬件相关的细节,如I/O接口,中断控制器,以及多处理器通信机 ...

5. Windows内核系统调用分析

   系统调用 进程 --> 调用OS API:OS进程管理 --> 调配进程. 仅从用户进程角度,OS就像是一个被动响应的运行时库.Windows提供了一个系统调用界面作为外层,即Win32A ...

6. Windows 内核（WRK）简介

   引子 WRK 是微软于 2006 年针对教育和学术界开放的 Windows 内核的部分源码, WRK(Windows Research Kernel)也就是 Windows 研究内核, 在 WRK 中 ...

7. Linux 内核 vs Windows 内核

   Windows 和 Linux 可以说是我们比较常见的两款操作系统的. Windows 基本占领了电脑时代的市场,商业上取得了很大成功,但是它并不开源,所以要想接触源码得加入 Windows 的开发团 ...

8. 自己制作Windows PE工具盘

   自己制作Windows PE工具盘 2007-04-13 20:46:47 标签: Windows  PE工具盘 Windows PE的 全称为Windows Preinstallation Envi ...

9. 寒江独钓Windows内核编程-双机调试1

   今天总结一下关于双机调试,前面一直使用的是DDK包进行NT式与WDM式驱动入门,至今已进入使用WDK包进行编程了,DDK包早已落后我只作为入门因为大体内容变化不大.我使用的书是<寒江独钓Wind ...

最新文章

1. Spring Boot学习笔记-基础（2）
2. Error - Found cycle in the ListNode
3. Java判断一个整数是否为水仙花数
4. jpg png webp_为在线图像删除PNG和JPG：使用WebP
5. Mysql的去重distinct
6. python字符串方法总结_python字符串函数总结
7. 拓端tecdat|R语言样条曲线、决策树、Adaboost、梯度提升(GBM)算法进行回归、分类和动态可视化
8. python：只想在opencv中显示红色通道？
9. hadoop集群配置和在windows系统上运用java操作hdfs
10. javascript 函数2——对象排序
11. apicloud apploader 连接失败
12. SuperMap iDesktop之夜景特效制作
13. 确定你的电脑是否支持安装64位操作系统
14. hash冲突的解决方法
15. 苏宁易购实现逆势增长，但它的非电业务更超出意料
16. 当powergui fft 中empty
17. redis-trib.rb命令详解
18. word标题级别与编号不关联的处理办法
19. OSChina 周六乱弹 —— 成功的解决了发现问题的人
20. linux查看照片命令,php 及 linux 命令行方式读取 图片 exif 信息

热门文章

1. U-BOOT介绍以及disk模块源码分析
2. 开启Apache mod_rewrite模块完全解答
3. 题目：三个售票员 卖出 30张票 || 多线程编程的企业级套路+模板||synchronized与Lock的区别
4. springboot 启动分析【难点】——如何自动扫描 @SpringBootApplication||如何加载自动配置类 @EnableAutoConfiguration||如何加载前端控制器
5. MySQL 数据库linux系统下修改配置文件设置mysql是否大小写敏感实例演示
6. C# 学习笔记（13）自己的串口助手
7. 结构对齐--__packed与#pragma pack
8. 制作简易的LED闪烁测试工具
9. python join字符连接函数的使用方法
10. ismember--检测集合中的元素