Win64AST(64位系统ARK手动杀毒工具)1.10无毒绿色版

Rootkit 通常是指加载到操作系统内核中的恶意软件，因为其代码运行在特权模式之下，极具危险性。有 Rootkit，就需要 Anti Rootkit，用到的就是 ARK 工具。
针对32位的 Windows XP 或 Windows 7 系统，已经有很多成熟的工具了，比如冰刃、早期的冰刃（IceSword）、Wsyscheck、到后来的狙剑（SnipeSword）、XueTr，还有最近很给力的 PowerTool 等，但是64位操作系统下的 ARK 工具发展相对缓慢，三个月之前 IThurricane 才发布了 PowerTool 64位版，并支持 Windows 8。

而 Tesla.Angela 开发的 Win64AST 是另一款、也可能是全球第一个专用于64位系统的内核级的高级系统工具，由于使用了特殊的内核技术，WIN64AST 能够从底层控制系统，有很大的操作权限，是一个强大的 Anti Rootkit 工具。

Win64AST 全称 Win64 Advanced System Tool，仅支持 Windows 7 x64 和 Windows 2008 R2，目前实现的功能就有：进程/线程/模块/句柄/窗口管理、查看内核模块、查看进程的端口、查看并恢复 SSDT 和 Shadow SSDT、查看并删除消息钩子、强制解锁/删除文件、强制删除注册表键/值、禁止创建进程/文件/注册表键值、禁止加载驱动、校验文件签名、扫描并恢复 RING3/RING0 的 INLINE HOOK、内核内存编辑、枚举回调、进程行为监视等。

这是一个重大版本升级，新增枚举回调、进程行为监视、中文语言，以及一些较小的修改，下载后直接运行 Win64AST.exe 即可，注意 Win64AST 需要安装.NET Framework 4 方可运行。

Tesla.Angela 说明了 WIN64AST 与 PowerTool x64 的不同之处：
PowerTool 的作者 ithurricane 大牛把 PowerTool 定位为「手动杀毒工具」，主要用于手动杀毒；而我把 Win64AST 定位为「高级系统工具」，里面有部分 ARK 功能，也有部分 RK 的功能（比如：隐藏进程、保护进程和强制修改进程内存，将来可能还会添加更多的功能），可用于辅助研究 Win64 内核，也可以干一些“邪恶”的事情，比如辅助游戏多开等，推荐两者一起使用。

Win64AST 1.00 Beta6 更新说明:
1.新增“废除回调函数”功能
2.新增枚举/恢复IDT钩子
3.新增扫描/恢复进程的IAT钩子和EAT钩子
4.新增枚举/恢复ClassPNP.sys、ATAPI.sys、NDIS.sys、TCPIP.sys的分发函数
5.新增查看特殊寄存器的值
6.新增枚举全局描述符表
7.内核探索者新增10条命令
8.行为监视器新增“排除指定PID”功能，信息显示上更加详细

不过 Win64AST 使用起来有些麻烦，不是很人性化，由于所需的驱动程序没有数字签名，而且部分功能使用了内核挂钩技术，需要驱动签名强制和 PatchGuard 才能使用。如果不使用特定功能，就无需 PatchGuard，只需要打开系统的「测试签名模式」并给本软件所需的驱动添加上测试签名即可。

Win64AST 定位为「高级系统工具」，里面有部分 ARK 功能，也有部分 RK 的功能（比如：隐藏进程、保护进程和强制修改进程内存，将来可能还会添加更多的功能），可用于辅助研究 Win64 内核，也可以干一些“邪恶”的事情，比如辅助游戏多开等。
本资源为网盘资源，需输入提取码: ksca提取资源。