win64ast(ark工具)

win64ast是一款的非常专业的的64位ark工具，主要用于64位操作系统内核检测，使用了特殊的内核技术进行开发，这让软件本身具有了极高的操作权限。在功能上，win64ast提供多层次的检测，帮您查看并管理64位Windows系统的各种内核信息，主要用于手工杀毒和内核研究等等。当然您还可以用它对软件进行辅助调试，比如实现软件数据修改以及游戏多开等等。Win64AST全称Win64 Advanced System Tool，支持windows7/8(64)和Windows 2008 R2操作系统，此版本为win64ast 1.04中文版，绿色版本打开即可使用。不过在值得注意的是在win7 64位系统下需要NET Framework 4支持。

功能介绍

1.进程/内存/线程/模块/句柄/窗口管理
2.内核模块查看
3.网络连接查看和禁止
4.查看/恢复SSDT和Shadow SSDT
5.扫描/恢复RING3和RING0的内联钩子
6.查看并删除消息钩子
7.查看/恢复重要驱动程序分发函数
8.查看/恢复内核对象例程钩子
9.枚举通告和回调
10.枚举I/O定时器
11.枚举DPC定时器
12.枚举MiniFilter/失效MiniFilter的回调函数
13.枚举/摘除过滤驱动
14.查看/备份/恢复/自动修复主引导记录(MBR)
15.进程行为监视（创建进程/创建线程/加载驱动/修改注册表/改动文件系统/连接网络/修改时间）
16.内核内存编辑
17.在驱动里枚举文件、强制新建/解锁/删除/破坏文件
18.在驱动里枚举注册表、强制删除/新建/重命名注册表键(KEY)和注册表值(VALUE)
19.禁止创建进程/禁止创建文件/禁止创建注册表键(KEY)和注册表值(VALUE)/禁止加载驱动
20.校验文件签名
21.枚举/恢复中断描述符表钩子
22..枚举全局描述符表
23.显示特殊寄存器的值
24.检测进程的IAT钩子和EAT钩子
25.查看/备份/恢复/自动修复卷引导记录(VBR)
26.网络防火墙
27.枚举/删除SPI、BHO、IE右键菜单
28.DLL/驱动加载器
29.动态开启/关闭LKD和DSE（警告：此功能会触发 PatchGuard 导致蓝屏，仅限“内核开发人员”使用）
30.隐藏进程（警告：此功能会触发PatchGuard导致蓝屏，仅限“内核开发人员”使用）

更新日志

win64ast v1.10更新日志(2015-03-17)
解决部分系统上用户态HOOK扫描不全的问题
解决内核态INLINE HOOK扫描不全的问题
增加扫描内核态EAT/IAT HOOK的功能
增加扫描全局无签名DLL的功能
增强文件破坏功能（支持多种磁盘类型并能无视大部分HOOK）
增加显示更多IRP分发函数的信息
增加显示更多OBJECT类型的信息
增强无签名DLL/SYS加载器功能（支持CALL导出函数和驱动控制码）
增加重启突破WIN7/8/8.1X64的PATCHGUARD的功能
增加更多防火墙的过滤条件（端口、目录[可以禁止整个目录下的程序访问网络]）
恢复并完善“行为监视器”功能
其它一些小的改进
v1.04更新日志(2015-01-06)
新增查看自启动项
新增检查系统关键部位
新增定位内核模块到对应的注册表
新增枚举内核模块时扫描可疑驱动对象
新增全局禁止联网 新增禁止写MBR
增强“程序员功能”中的驱动加载（可以直接加载无签名驱动）
修正禁用MINIFILTER过滤函数时可能导致蓝屏的BUG
修正注册表编辑器的一个隐性蓝屏BUG
修正枚举/删除超多层畸形目录时蓝屏的BUG
修正“行为监视器”中获取注册表信息不正确的BUG
修正某些电脑上“强制关机”不起作用的BUG