Win64AST是一款功能强大的Windows系统内核信息查看软件,主要可以帮助用户查看64位系统的信息,目前不支持32位的系统,看看软件涉及的范围非常广泛,支持查看电脑系统进程、窗口信息、驱动信息、网络连接、内核、文件管理器、注册表编辑器、行为监视器等多种电脑的基础信息,有助于用户了解电脑内核的数据,查看每一个进程的运行状态,当出现错误的时候可以快速从数据中搜索错误的类型以及原因,加速分析电脑的内部数据,需要的朋友可以下载试试!
软件功能
显示用户显示通知区域
系统升级通知区域
运行中的应用程序
程序的运行开始时间
可以 选择要监控的项目、进程创建、线程创建、加载驱动
要监控的进程,设置您要监控的进程ID
也可以到进程列表去选择N个进程添加
禁止文本框中的进程创建进程
可以获得线程句柄、访问注册表、访问磁盘和文件
进程虚拟地址空间擦除、调试工具路径
选择结束线程方式、清零线程的指令指针寄存器
设置功能,禁止创建线程、禁止加载驱动、禁止创建文件
软件界面置顶、进程自我保护、删除文件设置
删除文件后创建同名文件并独占访问删除文件前解锁文件
Win64AST会自动下载符号到此文件夹、请不要修改符号文件路径
支持设置windbg路径、启动windbg、系统配置、资源监视器、服务器管理、计算机管理
可以开启调试模式、关闭调试模式、开启测试签名模式、快速关机、快速重启
软件特色
内核模块查看、网络连接查看和禁止、查看/恢复SSDT和Shadow SSDT
查看/恢复内核对象例程钩子、枚举各种通告和回调、枚举/摘除过滤驱动
查看/备份/恢复/自动修复主引导记录(MBR)、创建进程/创建线程/加载驱动/修改注册表/改动文件系统/连接网络/修改时间
强制新建/解锁/删除/破坏文件、在驱动里枚举注册表、枚举/恢复中断描述符表钩子
枚举全局描述符表、显示特殊寄存器的值、检测进程的IAT钩子和EAT钩子
使用方法
1、下载解压文件,找到“运行中文版本.bat”双击打开运行即可出现主界面
2、窗口信息。可以查看所有程序的运行情况,能够显示所属进程、所属线程、窗口句柄、窗口类名
3、网络连接的情况,显示类型、本地IP端口、远程IP端口、远程IP地理地址、状态、出品公司
4、行为监视器,可以显示时间、行为类型、操作者、详细信息
5、内核探索者,可以显示电脑内核的使用情况以及信息
6、设置功能,这里的设置项目非常丰富,点击显示hosts文件的信息、结束进程方式
总体说明
1.数字仅允许使用10进制数字(1234)和16进制数字(0xABCD)
2.函数名可以是win32k.sys和ntoskrnl.exe的函数名
3.在使用之前强烈建议使用命令“syminit”来初始化符号
4.如果操作不当会引发蓝屏
相关介绍
(显示一定个数的BYTE ,如果不指定个数,默认个数为128)
例如:【db 0xFFFFF8001234567 0x64】、【db NtUserPostMessage】、【db ntopenprocess 2048】
dw 地址/函数名 个数 (显示一定个数的WORD ,如果不指定个数,默认个数为64)
例如:【dw 0xFFFFF8001234567 0x64】、【dw NtUserPostMessage】、【dw ntopenprocess 2048】
dd 地址/函数名 个数 (显示一定个数的DWORD,如果不指定个数,默认个数为32)
例如:【dd 0xFFFFF8001234567 0x64】、【dd NtUserPostMessage】、【dd ntopenprocess 2048】
dq 地址/函数名 个数 (显示一定个数的QWORD,如果不指定个数,默认个数为16)
例如:【dq 0xFFFFF8001234567 0x64】、【dq NtUserPostMessage】、【dq ntopenprocess 2048】
eb 地址/函数名 b1 b2 b3 ... bN (给指定地址写入一个BYTE,或者一个字节数组)
例如:【eb 0xFFFFF8001234567 0x64】、【eb NtUserPostMessage 0x90 0xC3】
ew 地址/函数名 w1 w2 w3 ... wN (给指定地址写入一个WORD)
例如:【ew 0xFFFFF8001234567 0x6464】、【ew NtUserPostMessage 0x90C3 0xC390】
ed 地址/函数名 d1 d2 d3 ... dN (给指定地址写入一个DWORD)
例如:【ed 0xFFFFF8001234567 0x64646464】、【ed NtUserPostMessage 0x909090C3 0x909090C3】
eq 地址/函数名 q1 q2 q3 ... qN (给指定地址写入一个QWORD)
例如:【eq 0xFFFFF8001234567 0x6464646464646464】、【eq NtUserPostMessage 0x90909090909090C3 0x90909090909090C3】
u 地址/函数名 指令条数 (反汇编一个地址,如果不指定指令条数,默认条数为8,如果输入0,则反汇编到出现ret或者长度大于PAGE_SIZE为止)
例如:【ub 0xFFFFF8001234567 0x64】、【ub NtUserPostMessage】
uf 地址/函数名 (反汇编整个函数,遇到ret或者jmp则停止)
例如:【uf 0xFFFFF8001234567】、【uf NtUserPostMessage】
dt 结构体名 (根据结构体名返回结构体大小)
例如:【dt eprocess】、【dt _list_entry】
dtx 结构体名 (根据结构体名获得结构体大小,支持通配符,但通配符需要符号文件的支持,例如:XX*『开头为XX』、*YY『结尾为YY』、XX*YY『开头为XX结尾为YY』、*XX*『含有XX字符串』、*『所有符号』、nt!*『NT符号』、win32k!*『WIN32K符号』)
例如:【dtx *INFO】、【dtx *】、【dtx win32k!*】
x 函数名 (根据函数名获得函数地址,支持通配符,但通配符需要符号文件的支持,例如:XX*『开头为XX』、*YY『结尾为YY』、XX*YY『开头为XX结尾为YY』、*XX*『含有XX字符串』、*『所有符号』、nt!*『NT符号』、win32k!*『WIN32K符号』)
例如:【x ntopenprocess】、【x NtUserPostMessage】、【x *Process】、【x Ki*Service】、【x *Terminate*】
ln 地址 (根据地址返回所在的模块和函数名)
例如:【ln 0xFFFFF8001234567】
∨ 展开