精华内容
下载资源
问答
  • WIN64AST 唯一支持win64的内核查看工具,支持win7 win8 win10
  • win64ast隐藏进程工具

    2016-04-25 17:47:05
    win64ast隐藏进程工具
  • Windows内核工具Win64AST初步使用.pdf
  • Win64AST是全球第一个专用于64位系统的内核级的高级系统工具,由于使用了特殊的内核技术,WIN64AST 能够从底层控制系统,有很大的操作权限,是一个强大的Anti Rootkit 工具。 Win64AST 全称Win64 Advanced System ...
  • WIN64AST_110_BETA1.zip

    2014-08-30 13:40:16
    WIN64AST_110_BETA1.zip
  • Win64AST专用于64位 Windows 的 ARK 类工具,能够查看并管理64位 Windows 系统的各种内核信息,可用于手工杀毒、辅助调试、内核研究等。 Rootkit 通常是指加载到操作系统内核中的恶意软件,因为其代码运行在特权...

    简介

    Win64AST专用于64位 Windows 的 ARK 类工具,能够查看并管理64位 Windows 系统的各种内核信息,可用于手工杀毒、辅助调试、内核研究等。

    Rootkit 通常是指加载到操作系统内核中的恶意软件,因为其代码运行在特权模式之下,极具危险性。有 Rootkit,就需要 Anti Rootkit,用到的就是 ARK 工具。

    Win64AST 全称 Win64 Advanced System Tool,支持 Windows 7 x64、Windows 8 x64 和 Windows 2008 R2。

    初步使用

    下载之后打开看一下;自带一个dll和驱动程序,.sys这个是驱动程序;

    进程;

        多了PPID栏,不知是啥,下回再整; EPROCESS栏,应该是进程EPROCESS结构体的地址; 

    驱动程序;列出所有;

         有基地址和入口点地址;看一下驱动程序多数是.sys后缀,也有少量是.dll或.exe后缀;

         怎么把dll或exe弄成一个驱动?有时间再整; 

    钩子;

        看一下Shadow SSDT,钩了这个表;Function,这是钩的函数;有当前地址-Current Address,Original Address-原来地址;就是把原来的地址替换了;地址存的是要调用函数的地址,替换以后调用的函数就改变了; 系统中有这么多 Shadow SSDT 钩子,我也不知道干啥的;好人可以干这事,坏人也可以干这事;

    消息钩子;

        Type,这是钩的消息名称;这个应该是全局消息钩子;比如mspaint.exe钩了WH_CBT,那么在所有程序收到此消息之前,mspaint.exe会先收到;

    寄存器;功能介绍说可以查看特殊寄存器值,这个应该就是了; 

    行为监控;

        默认禁止;可以选择要监控的行为,如进程创建、访问注册表等,然后使能功能; 

    Rootkit 功能;

        没用过;看界面可以加载驱动程序; 

    软件的设置;

        没用过;底层磁盘访问模式,正常、强、Extreme,三种;如果要尝试切换一定先保存正在操作的内容;我刚切到Strong Mode,直接蓝屏了; 

        先到这里;

    展开全文
  • Win64AST是全球第一个专用于64位系统的内核级的高级系统工具,由于使用了特殊的内核技术,WIN64AST 能够从底层控制系统,有很大的操作权限,是一个强大的Anti Rootkit 工具。不过 Win64AST 使用起来有些麻烦,不是很...
  • Win64AST是全球第一个专用于64位系统的内核级的高级系统工具,由于使用了特殊的内核技术,WIN64AST 能够从底层控制系统,有很大的操作权限,是一个强大的Anti Rootkit 工具
  • 额,一句话形容就是64位操作系统下可使用的冰刃
  • WIN64AST内核驱动工具

    2012-12-16 20:36:27
    64位的内核工具,类似 xuetr等支持 内核级别的操作等
  • WIN64AST_110_BETA6.zip

    2016-05-18 16:09:18
    该工具可查看并管理64位WINDOWS系统的各种内核信息, 可用于手工杀毒、辅助调试、内核研究等。
  • SANDBOXIE是一款非常不错的的沙盘,可惜新的64位破解版不完善,必须要打开“测试签名模式”才能使用。打开“测试签名模式”会严重降低系统安全性,其实就等于禁用掉了WIN...答案当然是否定的,用WIN64AST来帮你忙即可。
     SANDBOXIE是一款非常不错的的沙盘,可惜新的64位破解版不完善,必须要打开“测试签名模式”才能使用。打开“测试签名模式”会严重降低系统安全性,其实就等于禁用掉了WIN64内核保护的一个重要功能:驱动签名强制。微软没有提供短时间内禁用“驱动签名强制”的功能,如果要启用或者禁用则必须重启电脑。难道为了运行SANDBOXIE就要顾此失彼么?答案当然是否定的,用WIN64AST来帮你忙即可。 
    

    1.运行SBIE安装程序,选择语言,一路NEXT下去:

    妙用WIN64AST来加运行破解版的SANDBOXIE(无需打开测试签名模式) - 紫水晶编程技术论坛 - 紫水晶编程技术论坛·官方博客

     

    2.完成安装后,运行破解程序(keygen_by_uuk.exe),点击PATCH后关闭破解程序,并重启。

    妙用WIN64AST来加运行破解版的SANDBOXIE(无需打开测试签名模式) - 紫水晶编程技术论坛 - 紫水晶编程技术论坛·官方博客

     

    3.重启完毕后,会发现SBIE提示出错(图标也变成了感叹号):

    妙用WIN64AST来加运行破解版的SANDBOXIE(无需打开测试签名模式) - 紫水晶编程技术论坛 - 紫水晶编程技术论坛·官方博客

     

    4.关闭SBIE主程序,启动『任务管理器』,打开服务选项卡,找到SBIESVC服务。运行WIN64AST 1.03B(有些机器启动稍慢,请耐心等待),点开最后一个杂项选项卡,按下禁用驱动签名强制按钮,然后迅速用『任务管理器』开启SBIESVC服务(对着选中的列表项按下右键,选择开始即可),再迅速按下启用驱动签名强制按钮。注意这步要非常快(从按下禁用驱动签名强制按钮开始按下启用驱动签名强制按钮结束,时间最好不要超过20),否则可能蓝屏。操作完毕后,再运行SBIE主程序,你会忽然发现SBIE的图标变成正常了。

    妙用WIN64AST来加运行破解版的SANDBOXIE(无需打开测试签名模式) - 紫水晶编程技术论坛 - 紫水晶编程技术论坛·官方博客

     

    如果看不明白第四步,就看看录像吧(http://www.m5home.com/ta/loadsbie.gif):

    妙用WIN64AST来运行破解版的SANDBOXIE(无需打开测试签名模式) - 紫水晶编程技术论坛 - 紫水晶编程技术论坛·官方博客

     

    总结一下和“开启测试签名模式”破解法的优劣
    优:仅仅在加载驱动的瞬间关闭“驱动签名强制”,加载成功后就开启,不会对系统安全造成持久影响。
    劣:在动态禁用“驱动签名强制”的过程中,可能会被PatchGuard发现而导致蓝屏(虽然机率很小)。

    最后,希望大家使用正版,拒绝盗版,以自己的实际行动支持优秀软件的发展。本文仅为举例说明WIN64AST的用法而写,并非赞同使用破解版。特此声明。
    展开全文
  • Rootkit 通常是指加载到操作系统内核中的恶意软件,因为其代码运行在特权模式之下,极具危险性。有 Rootkit,就需要 Anti Rootkit,用到的就是 ARK 工具。 针对32位的 Windows XP 或 Windows 7 系统,已经有很多成熟...
  • typed_ast-1.4.3-cp39-cp39-win_amd64
  • typed_ast-1.4.3-cp38-cp38-win_amd64
  • typed_ast-1.4.3-cp37-cp37m-win_amd64
  • typed_ast-1.4.1-cp36-cp36m-win_amd64
  • typed_ast-1.4.0-cp35-cp35m-win_amd64
  • typed_ast-1.3.1-cp34-cp34m-win_amd64
  • Twisted-typed_ast-1.4.0-cp36-cp36m-win_amd64 Twisted-typed_ast-1.4.0-cp36-cp36m-win_amd64
  • 某些游戏保护会用此来拦截黑名单中的驱动加载,比如XUETR、WIN64AST的驱动。同理,在反游戏保护的过程中,也可以拦截游戏驱动的加载。 跟进程/线程回调类似,映像回调也存储在数组里。这个数组的“符号名”是...

    枚举与删除映像回调

        映像回调可以拦截 RING3 和 RING0 的映像加载。某些游戏保护会用此来拦截黑名单中的驱动加载,比如 XUETR、WIN64AST 的驱动。同理,在反游戏保护的过程中,也可以拦截游戏驱动的加载。

        跟进程/线程回调类似,映像回调也存储在数组里。这个数组的“符号名”是PspLoadImageNotifyRoutine。我们可以在 PsSetLoadImageNotifyRoutine 中找到它:

    实现的代码如下:

     

    ULONG64 FindPspLoadImageNotifyRoutine()
    {
    ULONG64	i=0,pCheckArea=0;
    UNICODE_STRING	unstrFunc;
    RtlInitUnicodeString(&unstrFunc, L"PsSetLoadImageNotifyRoutine");
    pCheckArea = (ULONG64)MmGetSystemRoutineAddress (&unstrFunc);
    DbgPrint("PsSetLoadImageNotifyRoutine: %llx",pCheckArea);
    for(i=pCheckArea;i<pCheckArea+0xff;i++)
    {
    if(*(PUCHAR)i==0x48 && *(PUCHAR)(i+1)==0x8d && *(PUCHAR)(i+2)==0x0d)	//lea rcx,xxxx
    {
    LONG OffsetAddr=0;
    memcpy(&OffsetAddr,(PUCHAR)(i+3),4);
    return OffsetAddr+7+i;
    }
    }
    return 0;
    }
     
     
    void EnumLoadImageNotify()
    {
    int i=0;
    BOOLEAN b;
    ULONG64	NotifyAddr=0,MagicPtr=0;
    ULONG64	PspLoadImageNotifyRoutine=FindPspLoadImageNotifyRoutine();
    DbgPrint("PspLoadImageNotifyRoutine: %llx",PspLoadImageNotifyRoutine);
    if(!PspLoadImageNotifyRoutine)
    return;
    for(i=0;i<8;i++)
    {
    MagicPtr=PspLoadImageNotifyRoutine+i*8;
    NotifyAddr=*(PULONG64)(MagicPtr);
    if(MmIsAddressValid((PVOID)NotifyAddr) && NotifyAddr!=0)
    {
    NotifyAddr=*(PULONG64)(NotifyAddr & 0xfffffffffffffff8);
    DbgPrint("[LoadImage]%llx",NotifyAddr);
    }
    }
    }
     

     

     

     

     

     

    执行结果如下:

        用这三种回调(CreateProcess、CreateThread、LoadImage)来做监控其实并不怎么靠谱,因为系统里存在一个开关,叫做 PspNotifyEnableMask,如果它的值被设置为 0,那么所有的相关操作都不会经过回调。换句话说,如果 PspNotifyEnableMask等于 0,那么所有的进程、线程、映像回调都会失效。不过这个变量并没有在导出函数中直接出现,所以找到它略难。

    宋孖健,13

    展开全文
  • typed_ast-1.4.3-cp39-cp39-win32
  • typed_ast-1.4.3-cp38-cp38-win32
  • typed_ast-1.4.3-cp37-cp37m-win32
  • typed_ast-1.4.1-cp36-cp36m-win32
  • typed_ast-1.4.0-cp35-cp35m-win32
  • typed_ast-1.3.1-cp34-cp34m-win32
  • typed_ast-1.4.0-cp37-cp37m-win32.whl typed_ast-1.4.0-cp37-cp37m-win32.whl
  • Twisted-typed_ast-1.4.0-cp36-cp36m-win32.whl Twisted-typed_ast-1.4.0-cp36-cp36m-win32.whl
  • 注明,此工具中WIN64AST_119为胡大牛所编,其余不注明出处,若有侵权,可call我,立即删除。因分值限定,必须填。2分。dseo13b+win64udl_cn_v1+KmdManager.exe

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,613
精华内容 1,045
关键字:

win64ast