Win64AST是一款功能強(qiáng)大的Windows系統(tǒng)內(nèi)核信息查看軟件，主要可以幫助用戶查看64位系統(tǒng)的信息，目前不支持32位的系統(tǒng)，看看軟件涉及的范圍非常廣泛，支持查看電腦系統(tǒng)進(jìn)程、窗口信息、驅(qū)動(dòng)信息、網(wǎng)絡(luò)連接、內(nèi)核、文件管理器、注冊(cè)表編輯器、行為監(jiān)視器等多種電腦的基礎(chǔ)信息，有助于用戶了解電腦內(nèi)核的數(shù)據(jù)，查看每一個(gè)進(jìn)程的運(yùn)行狀態(tài)，當(dāng)出現(xiàn)錯(cuò)誤的時(shí)候可以快速?gòu)臄?shù)據(jù)中搜索錯(cuò)誤的類型以及原因，加速分析電腦的內(nèi)部數(shù)據(jù)，需要的朋友可以下載試試！

軟件功能

　　顯示用戶顯示通知區(qū)域

　　系統(tǒng)升級(jí)通知區(qū)域

　　運(yùn)行中的應(yīng)用程序

　　程序的運(yùn)行開始時(shí)間

　　可以 選擇要監(jiān)控的項(xiàng)目、進(jìn)程創(chuàng)建、線程創(chuàng)建、加載驅(qū)動(dòng)

　　要監(jiān)控的進(jìn)程，設(shè)置您要監(jiān)控的進(jìn)程ID

　　也可以到進(jìn)程列表去選擇N個(gè)進(jìn)程添加

　　禁止文本框中的進(jìn)程創(chuàng)建進(jìn)程

　　可以獲得線程句柄、訪問注冊(cè)表、訪問磁盤和文件

　　進(jìn)程虛擬地址空間擦除、調(diào)試工具路徑

　　選擇結(jié)束線程方式、清零線程的指令指針寄存器

　　設(shè)置功能，禁止創(chuàng)建線程、禁止加載驅(qū)動(dòng)、禁止創(chuàng)建文件

　　軟件界面置頂、進(jìn)程自我保護(hù)、刪除文件設(shè)置

　　刪除文件后創(chuàng)建同名文件并獨(dú)占訪問刪除文件前解鎖文件

　　Win64AST會(huì)自動(dòng)下載符號(hào)到此文件夾、請(qǐng)不要修改符號(hào)文件路徑

　　支持設(shè)置windbg路徑、啟動(dòng)windbg、系統(tǒng)配置、資源監(jiān)視器、服務(wù)器管理、計(jì)算機(jī)管理

　　可以開啟調(diào)試模式、關(guān)閉調(diào)試模式、開啟測(cè)試簽名模式、快速關(guān)機(jī)、快速重啟

軟件特色

　　內(nèi)核模塊查看、網(wǎng)絡(luò)連接查看和禁止、查看/恢復(fù)SSDT和Shadow SSDT

　　查看/恢復(fù)內(nèi)核對(duì)象例程鉤子、枚舉各種通告和回調(diào)、枚舉/摘除過濾驅(qū)動(dòng)

　　查看/備份/恢復(fù)/自動(dòng)修復(fù)主引導(dǎo)記錄(MBR)、創(chuàng)建進(jìn)程/創(chuàng)建線程/加載驅(qū)動(dòng)/修改注冊(cè)表/改動(dòng)文件系統(tǒng)/連接網(wǎng)絡(luò)/修改時(shí)間

　　強(qiáng)制新建/解鎖/刪除/破壞文件、在驅(qū)動(dòng)里枚舉注冊(cè)表、枚舉/恢復(fù)中斷描述符表鉤子

　　枚舉全局描述符表、顯示特殊寄存器的值、檢測(cè)進(jìn)程的IAT鉤子和EAT鉤子

使用方法

　　1、下載解壓文件，找到“運(yùn)行中文版本.bat”雙擊打開運(yùn)行即可出現(xiàn)主界面

　　2、窗口信息?？梢圆榭此谐绦虻倪\(yùn)行情況，能夠顯示所屬進(jìn)程、所屬線程、窗口句柄、窗口類名

　　3、網(wǎng)絡(luò)連接的情況，顯示類型、本地IP端口、遠(yuǎn)程IP端口、遠(yuǎn)程IP地理地址、狀態(tài)、出品公司

　　4、行為監(jiān)視器，可以顯示時(shí)間、行為類型、操作者、詳細(xì)信息

　　5、內(nèi)核探索者，可以顯示電腦內(nèi)核的使用情況以及信息

　　6、設(shè)置功能，這里的設(shè)置項(xiàng)目非常豐富，點(diǎn)擊顯示hosts文件的信息、結(jié)束進(jìn)程方式

總體說明

　　1.數(shù)字僅允許使用10進(jìn)制數(shù)字（1234）和16進(jìn)制數(shù)字（0xABCD）

　　2.函數(shù)名可以是win32k.sys和ntoskrnl.exe的函數(shù)名

　　3.在使用之前強(qiáng)烈建議使用命令“syminit”來初始化符號(hào)

　　4.如果操作不當(dāng)會(huì)引發(fā)藍(lán)屏

相關(guān)介紹

　?。@示一定個(gè)數(shù)的BYTE ，如果不指定個(gè)數(shù)，默認(rèn)個(gè)數(shù)為128）

　　例如：【db 0xFFFFF8001234567 0x64】、【db NtUserPostMessage】、【db ntopenprocess 2048】

　　dw 地址/函數(shù)名 個(gè)數(shù) （顯示一定個(gè)數(shù)的WORD ，如果不指定個(gè)數(shù)，默認(rèn)個(gè)數(shù)為64）

　　例如：【dw 0xFFFFF8001234567 0x64】、【dw NtUserPostMessage】、【dw ntopenprocess 2048】

　　dd 地址/函數(shù)名 個(gè)數(shù) （顯示一定個(gè)數(shù)的DWORD，如果不指定個(gè)數(shù)，默認(rèn)個(gè)數(shù)為32）

　　例如：【dd 0xFFFFF8001234567 0x64】、【dd NtUserPostMessage】、【dd ntopenprocess 2048】

　　dq 地址/函數(shù)名 個(gè)數(shù) （顯示一定個(gè)數(shù)的QWORD，如果不指定個(gè)數(shù)，默認(rèn)個(gè)數(shù)為16）

　　例如：【dq 0xFFFFF8001234567 0x64】、【dq NtUserPostMessage】、【dq ntopenprocess 2048】

　　eb 地址/函數(shù)名 b1 b2 b3 ... bN （給指定地址寫入一個(gè)BYTE，或者一個(gè)字節(jié)數(shù)組）

　　例如：【eb 0xFFFFF8001234567 0x64】、【eb NtUserPostMessage 0x90 0xC3】

　　ew 地址/函數(shù)名 w1 w2 w3 ... wN （給指定地址寫入一個(gè)WORD）

　　例如：【ew 0xFFFFF8001234567 0x6464】、【ew NtUserPostMessage 0x90C3 0xC390】

　　ed 地址/函數(shù)名 d1 d2 d3 ... dN （給指定地址寫入一個(gè)DWORD）

　　例如：【ed 0xFFFFF8001234567 0x64646464】、【ed NtUserPostMessage 0x909090C3 0x909090C3】

　　eq 地址/函數(shù)名 q1 q2 q3 ... qN （給指定地址寫入一個(gè)QWORD）

　　例如：【eq 0xFFFFF8001234567 0x6464646464646464】、【eq NtUserPostMessage 0x90909090909090C3 0x90909090909090C3】

　　u 地址/函數(shù)名 指令條數(shù) （反匯編一個(gè)地址，如果不指定指令條數(shù)，默認(rèn)條數(shù)為8，如果輸入0，則反匯編到出現(xiàn)ret或者長(zhǎng)度大于PAGE_SIZE為止）

　　例如：【ub 0xFFFFF8001234567 0x64】、【ub NtUserPostMessage】

　　uf 地址/函數(shù)名 （反匯編整個(gè)函數(shù)，遇到ret或者jmp則停止）

　　例如：【uf 0xFFFFF8001234567】、【uf NtUserPostMessage】

　　dt 結(jié)構(gòu)體名 （根據(jù)結(jié)構(gòu)體名返回結(jié)構(gòu)體大?。?/p>

　　例如：【dt eprocess】、【dt _list_entry】

　　dtx 結(jié)構(gòu)體名 （根據(jù)結(jié)構(gòu)體名獲得結(jié)構(gòu)體大小，支持通配符，但通配符需要符號(hào)文件的支持，例如：XX*『開頭為XX』、*YY『結(jié)尾為YY』、XX*YY『開頭為XX結(jié)尾為YY』、*XX*『含有XX字符串』、*『所有符號(hào)』、nt!*『NT符號(hào)』、win32k!*『WIN32K符號(hào)』）

　　例如：【dtx *INFO】、【dtx *】、【dtx win32k!*】

　　x 函數(shù)名 （根據(jù)函數(shù)名獲得函數(shù)地址，支持通配符，但通配符需要符號(hào)文件的支持，例如：XX*『開頭為XX』、*YY『結(jié)尾為YY』、XX*YY『開頭為XX結(jié)尾為YY』、*XX*『含有XX字符串』、*『所有符號(hào)』、nt!*『NT符號(hào)』、win32k!*『WIN32K符號(hào)』）

　　例如：【x ntopenprocess】、【x NtUserPostMessage】、【x *Process】、【x Ki*Service】、【x *Terminate*】

　　ln 地址 （根據(jù)地址返回所在的模塊和函數(shù)名）

　　例如：【ln 0xFFFFF8001234567】