Win64AST是全球第一個專用于64位系統(tǒng)的內(nèi)核級的高級系統(tǒng)工具，由于使用了特殊的內(nèi)核技術(shù)，WIN64AST 能夠從底層控制系統(tǒng)，有很大的操作權(quán)限，是一個強大的Anti Rootkit工具。目前該功能僅支持 Windows 7 x64 和 Windows 2008 R2。

【功能說明】

【更新日志】

Win64AST 1.03
支持Windows 8.1
動態(tài)禁用 Driver Signature Enforcement (驅(qū)動簽名強制)
完善了底層方式讀寫磁盤的邏輯 (解決部分電腦上無法讀寫 MBR 的問題，遇到 GPT 分區(qū)會提示)
完善了句柄的枚舉

Win64AST 1.02 更新說明:
1.兼容：可以在“帶網(wǎng)絡連接的安全模式”下運行（但部分和minifilter驅(qū)動有關(guān)的功能無法使用）
2.兼容：修正了與某HIPS共用時導致獲取SSDT原始地址錯誤的問題
3.修改：手動檢測MBR Rootkit改為自動檢測
4.修改：高亮非微軟項目（多個相關(guān)列表）
5.增強：使用“隨機驅(qū)動文件名”防止某些軟件根據(jù)文件名來阻止驅(qū)動加載
6.增強：結(jié)束進程
7.增強：枚舉進程模塊
8.增強：INLINE HOOK檢測新增一些重要的未導出函數(shù)（如KiSystemCall64等）
9.新增：窗口探測器、消息洪水攻擊
10.新增：自動修復MBR（穿部分還原，測試能過『雨過天晴20130111』）
11.新增：文件扇區(qū)清零（穿部分還原，測試能過『雨過天晴20130111』、『冰點7.51.20.4170』、『影子衛(wèi)士1.2.0.355』等）
12.新增：導出注冊表項
13.新增：定位到文件/注冊表（行為監(jiān)視器）
14.新增：命令行參數(shù)nosafecheck（啟動時不進行安全檢查加快啟動速度）
15.新增：顯示驅(qū)動服務名、刪除驅(qū)動文件以及相關(guān)注冊表項目、卸載驅(qū)動
16.新增：枚舉/申請/釋放/轉(zhuǎn)儲/反匯編進程內(nèi)存、修改進程內(nèi)存屬性、內(nèi)存內(nèi)容查找
17.新增：當行為監(jiān)視器攔截到驅(qū)動加載時，把驅(qū)動文件復制到C盤根目錄
18.新增：根據(jù)進程名保護進程
19.新增：顯示指定類型文件、給文件和文件夾加上/去除“只讀/隱藏/系統(tǒng)屬性”
20.其他：圖標換成了戴爾ALIENWARE品牌的圖標

2013-02-21：1.01[正式版]
01.兼容：可以在“帶網(wǎng)絡連接的安全模式”下運行（但部分和minifilter驅(qū)動有關(guān)的功能無法使用）
02.兼容：修正了與某HIPS共用時導致獲取SSDT原始地址錯誤的問題
03.修改：手動檢測MBR Rootkit改為自動檢測
04.修改：高亮非微軟項目（多個相關(guān)列表）
05.增強：使用“隨機驅(qū)動文件名”防止某些軟件根據(jù)文件名來阻止驅(qū)動加載
06.增強：結(jié)束進程
07.增強：枚舉進程模塊
08.增強：INLINE HOOK檢測新增一些重要的未導出函數(shù)（如KiSystemCall64等）
09.新增：窗口探測器、消息洪水攻擊
10.新增：自動修復MBR（穿部分還原，測試能過『雨過天晴20130111』）
11.新增：文件扇區(qū)清零（穿部分還原，測試能過『雨過天晴20130111』、『冰點7.51.20.4170』、『影子衛(wèi)士1.2.0.355』、『Returnil 2011(1.0.5.5400)』）
12.新增：導出注冊表項
13.新增：定位到文件/注冊表（行為監(jiān)視器）
14.新增：命令行參數(shù)nosafecheck（啟動時不進行安全檢查加快啟動速度）
15.新增：顯示驅(qū)動服務名、刪除驅(qū)動文件以及相關(guān)注冊表項目、卸載驅(qū)動
16.新增：枚舉/申請/釋放/轉(zhuǎn)儲/反匯編進程內(nèi)存、修改進程內(nèi)存屬性、內(nèi)存內(nèi)容查找
17.新增：當行為監(jiān)視器攔截到驅(qū)動加載時，把驅(qū)動文件復制到C盤根目錄
18.新增：根據(jù)進程名保護進程
19.新增：顯示指定類型文件、給文件和文件夾加上/去除“只讀/隱藏/系統(tǒng)屬性”
20.其他：圖標換成了戴爾ALIENWARE品牌的圖標

Win64AST 1.00 正式版更新日志：

新增文件管理功能
新增注冊表編輯

2013-01-01：1.00[BETA6]
1.新增“廢除回調(diào)函數(shù)”功能
2.新增枚舉/恢復IDT鉤子
3.新增掃描/恢復進程的IAT鉤子和EAT鉤子
4.新增枚舉/恢復ClassPNP.sys、ATAPI.sys、NDIS.sys、TCPIP.sys的分發(fā)函數(shù)
5.新增查看特殊寄存器的值
6.新增枚舉全局描述符表
7.內(nèi)核探索者新增10條命令
8.行為監(jiān)視器新增“排除指定PID”功能，信息顯示上更加詳細