简介
Win64AST专用于64位 Windows 的 ARK 类工具,能够查看并管理64位 Windows 系统的各种内核信息,可用于手工杀毒、辅助调试、内核研究等。
Rootkit 通常是指加载到操作系统内核中的恶意软件,因为其代码运行在特权模式之下,极具危险性。有 Rootkit,就需要 Anti Rootkit,用到的就是 ARK 工具。
Win64AST 全称 Win64 Advanced System Tool,支持 Windows 7 x64、Windows 8 x64 和 Windows 2008 R2。
初步使用
下载之后打开看一下;自带一个dll和驱动程序,.sys这个是驱动程序;
进程;
多了PPID栏,不知是啥,下回再整; EPROCESS栏,应该是进程EPROCESS结构体的地址;
驱动程序;列出所有;
有基地址和入口点地址;看一下驱动程序多数是.sys后缀,也有少量是.dll或.exe后缀;
怎么把dll或exe弄成一个驱动?有时间再整;
钩子;
看一下Shadow SSDT,钩了这个表;Function,这是钩的函数;有当前地址-Current Address,Original Address-原来地址;就是把原来的地址替换了;地址存的是要调用函数的地址,替换以后调用的函数就改变了; 系统中有这么多 Shadow SSDT 钩子,我也不知道干啥的;好人可以干这事,坏人也可以干这事;
消息钩子;
Type,这是钩的消息名称;这个应该是全局消息钩子;比如mspaint.exe钩了WH_CBT,那么在所有程序收到此消息之前,mspaint.exe会先收到;
寄存器;功能介绍说可以查看特殊寄存器值,这个应该就是了;
行为监控;
默认禁止;可以选择要监控的行为,如进程创建、访问注册表等,然后使能功能;
Rootkit 功能;
没用过;看界面可以加载驱动程序;
软件的设置;
没用过;底层磁盘访问模式,正常、强、Extreme,三种;如果要尝试切换一定先保存正在操作的内容;我刚切到Strong Mode,直接蓝屏了;
先到这里;
扫一扫
348
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
