Windows内核工具Win64AST初步使用
簡介
Win64AST專用于64位 Windows 的 ARK 類工具,能夠查看并管理64位 Windows 系統的各種內核信息,可用于手工殺毒、輔助調試、內核研究等。
Rootkit 通常是指加載到操作系統內核中的惡意軟件,因為其代碼運行在特權模式之下,極具危險性。有 Rootkit,就需要 Anti Rootkit,用到的就是 ARK 工具。
Win64AST 全稱 Win64 Advanced System Tool,支持 Windows 7 x64、Windows 8 x64 和 Windows 2008 R2。
初步使用
下載之后打開看一下;自帶一個dll和驅動程序,.sys這個是驅動程序;
進程;
? ? 多了PPID欄,不知是啥,下回再整; EPROCESS欄,應該是進程EPROCESS結構體的地址;?
驅動程序;列出所有;
? ? ?有基地址和入口點地址;看一下驅動程序多數是.sys后綴,也有少量是.dll或.exe后綴;
? ? ?怎么把dll或exe弄成一個驅動?有時間再整;?
鉤子;
? ? 看一下Shadow SSDT,鉤了這個表;Function,這是鉤的函數;有當前地址-Current Address,Original Address-原來地址;就是把原來的地址替換了;地址存的是要調用函數的地址,替換以后調用的函數就改變了;?系統中有這么多?Shadow SSDT 鉤子,我也不知道干啥的;好人可以干這事,壞人也可以干這事;
消息鉤子;
? ? Type,這是鉤的消息名稱;這個應該是全局消息鉤子;比如mspaint.exe鉤了WH_CBT,那么在所有程序收到此消息之前,mspaint.exe會先收到;
寄存器;功能介紹說可以查看特殊寄存器值,這個應該就是了;?
行為監控;
? ? 默認禁止;可以選擇要監控的行為,如進程創建、訪問注冊表等,然后使能功能;?
Rootkit 功能;
? ? 沒用過;看界面可以加載驅動程序;?
軟件的設置;
? ? 沒用過;底層磁盤訪問模式,正常、強、Extreme,三種;如果要嘗試切換一定先保存正在操作的內容;我剛切到Strong Mode,直接藍屏了;?
? ? 先到這里;
總結
以上是生活随笔為你收集整理的Windows内核工具Win64AST初步使用的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 80x86汇编按二进制输出数字的程序图解
- 下一篇: win32汇编系统函数简单小示例图解