Win64AST(64位內核系統(tǒng)工具)是一款支持64位Windows的ARK、內核級的高級系統(tǒng)工具，Win64AST中文版使用更加方便，本工具用于手工殺毒、輔助調試、內核研究等非常的有幫助。要知道64位操作系統(tǒng)下的ARK工具還是不多見的，需要的用戶趕緊下載吧。

拓展閱讀

Rootkit 通常是指加載到操作系統(tǒng)內核中的惡意軟件，因為其代碼運行在特權模式之下，極具危險性。有 Rootkit，就需要 Anti Rootkit，用到的就是 ARK 工具。

針對32位的 Windows XP 或 Windows 7 系統(tǒng)，已經有很多成熟的工具了，比如冰刃、早期的冰刃 (IceSword)、Wsyscheck、到后來的狙劍 (SnipeSword)、XueTr，還有最近很給力的 PowerTool 等，但是64位操作系統(tǒng)下的 ARK 工具發(fā)展相對緩慢，三個月之前 IThurricane 才發(fā)布了 PowerTool 64位版，并支持 Windows 8。

而 Tesla.Angela 開發(fā)的 Win64AST 是另一款、也可能是全球第一個專用于64位系統(tǒng)的內核級的高級系統(tǒng)工具，由于使用了特殊的內核技術，WIN64AST 能夠從底層控制系統(tǒng)，有很大的操作權限，是一個強大的 Anti Rootkit 工具，能夠查看并管理64位 Windows 系統(tǒng)的各種內核信息，可用于手工殺毒、輔助調試、內核研究等。

功能介紹

Win64AST 全稱 Win64 Advanced System Tool，支持 Windows 7 x64、Windows 8 x64 和 Windows 2008 R2，目前實現的功能有：

進程/內存/線程/模塊/句柄/窗口管理

內核模塊查看

查看并刪除消息鉤子

查看/恢復重要驅動程序分發(fā)函數

查看/恢復內核對象例程鉤子

網絡連接查看和禁止

查看/恢復SSDT和Shadow SSDT

掃描/恢復RING3和RING0的內聯鉤子

枚舉通告和回調

枚舉I/O定時器

枚舉DPC定時器

枚舉MiniFilter/失效MiniFilter的回調函數

枚舉/摘除過濾驅動

查看/備份/恢復/自動修復主引導記錄(MBR)

進程行為監(jiān)視(創(chuàng)建進程/創(chuàng)建線程/加載驅動/修改注冊表/改動文件系統(tǒng)/連接網絡/修改時間)

內核內存編輯

在驅動里枚舉文件、強制新建/解鎖/刪除/破壞文件

在驅動里枚舉注冊表、強制刪除/新建/重命名注冊表鍵(KEY)和注冊表值(VALUE)

禁止創(chuàng)建進程/禁止創(chuàng)建文件/禁止創(chuàng)建注冊表鍵(KEY)和注冊表值(VALUE)/禁止加載驅動

校驗文件簽名

枚舉/恢復中斷描述符表鉤子

.枚舉全局描述符表

顯示特殊寄存器的值

檢測進程的IAT鉤子和EAT鉤子

查看/備份/恢復/自動修復卷引導記錄(VBR)

網絡防火墻

枚舉/刪除SPI、BHO、IE右鍵菜單

DLL/驅動加載器

動態(tài)開啟/關閉LKD和DSE(警告：此功能會觸發(fā) PatchGuard 導致藍屏，僅限“內核開發(fā)人員”使用)

隱藏進程(警告：此功能會觸發(fā) PatchGuard 導致藍屏，僅限“內核開發(fā)人員”使用)

更新日志

Win64AST 1.10 Beta2 更新日志

解決部分系統(tǒng)上用戶態(tài)HOOK掃描不全的問題

解決內核態(tài)INLINE HOOK掃描不全的問題

增加掃描內核態(tài)EAT/IAT HOOK的功能

增加顯示更多IRP分發(fā)函數的信息

增加顯示更多OBJECT類型的信息

增加掃描全局無簽名DLL的功能

增強文件破壞功能（支持多種磁盤類型并能無視大部分HOOK）

增強無簽名DLL/SYS加載器功能（支持CALL導出函數和驅動控制碼）

增加重啟突破WIN7/8/8.1X64的PATCHGUARD的功能

增加更多防火墻的過濾條件（端口、目錄[可以禁止整個目錄下的程序訪問網絡]）

恢復并完善“行為監(jiān)視器”功能

其它一些小的改進