运用简介：

Rootkit 艰深为指加载到操作零星内核中的恶意软件，由于其代码运行在特权方式之下，极具危害性。有 Rootkit，就需要 Anti Rootkit，用到的便是 ARK 工具。Win64AST(Win64 Advanced System Tool) 是一款、也可能是全天下第一个专用于64位零星的内核级的低级零星工具，由于运用了特殊的内核技术，WIN64AST 可能从底层操作零星，有很大的操作权限，是一个强盛的 Anti Rootkit 工具，可能魔难并规画64位 Windows 零星的种种内核信息，可用于手工杀毒、辅助调试、内核钻研等。

运用产物特色：

历程/内存/线程/模块/句柄/窗口规画

内核模块魔难

收集衔接魔难以及防止

魔难/复原SSDT以及Shadow SSDT

扫描/复原RING3以及RING0的内联钩子

魔难并删除了新闻钩子

魔难/复原紧张驱动挨次散发函数

魔难/复原内查工具例程钩子

枚举种种通告以及回调

枚举I/O定时器

枚举DPC定时器

枚举MiniFilter/失效MiniFilter的回调函数

枚举/摘除了过滤驱动

魔难/备份/复原/自动修复主向导记实(MBR)

历程行动把守(建树历程/建树线程/加载驱动/更正注册表/修注释件零星/衔接收集/更正光阴)

内核内存编纂

在驱动里枚举文件、欺压新建/解锁/删除了/破损文件

在驱动里枚举注册表、欺压删除了/新建/重命名注册表键(KEY)以及注册表值(VALUE)

防止建树历程/防止建树文件/防止建树注册表键(KEY)以及注册表值(VALUE)/防止加载驱动/防止联网/防止读写磁盘敏感地域

校验文件署名

枚举/复原中断形貌符表钩子

枚举全局形貌符表

展现特殊寄存器的值

检测历程的IAT钩子以及EAT钩子

魔难/备份/复原/自动修复卷向导记实(VBR)

收集防火墙

枚举/删除了SPI、BHO、IE右键菜单、WFP CALLOUT、NDIS FILTER

DLL/驱动加载器

枚举/删除了自启动项、枚举/编纂文件分割关连

枚举/复原内核回调表

PE文件魔难器

证书拉黑工具

运用剖析：

2016/8/11 更新版本为 Win64AST 1.10 Beta6 测试版，下载后直接运行 Win64AST.exe 即可，留意 Win64AST 在 Windows 7 上需要装置 .NET Framework 4 方可运行，而 Windows 8 则不用装置 .NET Framework 4。

相关视频：