64位简体中文冰刃IceSword

/********************************************************************************************* 特别警告：如果您当前已经运行了旧版本的WIN64AST，请重启后再运行新版本，否则可能会造成蓝屏死机。 *********************************************************************************************/ 软件说明＆免责声明 ================== 本软件能查看并管理64位WINDOWS系统的各种内核信息，可用于手工杀毒、辅助调试、内核研究等。 本软件的设计思想是：底层优先，兼顾安全。如果本软件因各种原因引发了蓝屏而导致您受到经济损失，本人恕不负责。 软件功能 ======== 1.进程/内存/线程/模块/句柄/窗口管理 2.内核模块查看 3.网络连接查看和禁止 4.查看/恢复SSDT和Shadow SSDT 5.扫描/恢复RING3和RING0的内联钩子 6.查看并删除消息钩子 7.查看/恢复重要驱动程序分发函数 8.查看/恢复内核对象例程钩子 9.枚举各种通告和回调 10.枚举I/O定时器 11.枚举DPC定时器 12.枚举MiniFilter/失效MiniFilter的回调函数 13.枚举/摘除过滤驱动 14.查看/备份/恢复/自动修复主引导记录(MBR) 15.进程行为监视（创建进程/创建线程/加载驱动/修改注册表/改动文件系统/连接网络/修改时间） 16.内核内存编辑 17.在驱动里枚举文件、强制新建/解锁/删除/破坏文件 18.在驱动里枚举注册表、强制删除/新建/重命名注册表键(KEY)和注册表值(VALUE) 19.禁止创建进程/禁止创建文件/禁止创建注册表键(KEY)和注册表值(VALUE)/禁止加载驱动 20.校验文件签名 21.枚举/恢复中断描述符表钩子 22.枚举全局描述符表 23.显示特殊寄存器的值 24.检测进程的IAT钩子和EAT钩子 25.查看/备份/恢复/自动修复卷引导记录(VBR) 26.网络防火墙 27.枚举/删除SPI、BHO、IE右键菜单、WFP CALLOUT 28.DLL/驱动加载器 29.动态开启/关闭LKD（本地内核调试）和DSE（数字签名强制）【警告：此功能会触发PatchGuard导致蓝屏，仅限“内核开发人员”使用。】 30.一些“有趣的”功能【警告：部分“有趣的”功能仅限付费用户使用！】 软件需求 ======== 1.支持的系统：Win7x64/Win2008R2/Win8x64/Win2012/Win8.1x64/Win2012R2（7600/7601/9200/9600） 2.运行库：Win7x64和Win2008R2需要安装Microsoft .NET Framework 4才能运行（WIN8/WIN8.1/WIN2012/WIN2012R2不用）【官方下载地址：http://www.microsoft.com/zh-cn/download/details.aspx?id=17718】 3.需要管理员权限（对Win64AST.exe按下右键，选择“以管理员身份运行”） 4.如果长时间使用“行为监视器”功能，推荐四核CPU和8GB以上的内存 初始设置 ======== 1.命令行参数：暂无。 2.第一次运行时，强烈建议先打开“设置”选项卡，把软件可能需要的符号文件下载下来。 其它信息 ======== QQ讨论群：173718777 软件作者：胡文亮（Tesla.Angela） 新版下载：http://win64ast.m5home.com BUG反馈/建议意见：tesla.angela@qq.com 常见问题解答（不断更新）：http://m5home.blog.163.com/blog/static/209122181201210137024457 目前已知的问题 ============== 1.某些操作在配置低的机器上可能会卡（我测试的最低配置机器是AMD X2 245 + 2GB DDR2） 2.存在内存泄漏（由于这个软件是我的业余作品暂时没有时间解决这个问题） 更新历史 ======== 2015-01-01：1.10[BETA2] 1.解决部分系统上用户态HOOK扫描不全的问题 2.解决内核态INLINE HOOK扫描不全的问题 3.增加扫描内核态EAT/IAT HOOK的功能 4.增加扫描全局无签名DLL的功能 5.增强文件破坏功能（支持多种磁盘类型并能无视大部分HOOK） 6.增加显示更多IRP分发函数的信息 7.增加显示更多OBJECT类型的信息 8.增强无签名DLL/SYS加载器功能（支持CALL导出函数和驱动控制码） 9.增加重启突破WIN7/8/8.1X64的PATCHGUARD的功能 10.增加更多防火墙的过滤条件（端口、目录[可以禁止整个目录下的程序访问网络]） 11.恢复并完善“行为监视器”功能 12.其它一些小的改进 其它：增加了一些“有趣的”功能（可反悔的隐藏进程、隐藏驱动、隐藏文件、隐藏注册表、修改进程/DLL路径、修改驱动路径） 备注：部分“有趣的”功能仅对付费用户开放！如需购买请直接联系本人QQ(1923208126)！付费版详情请见软件发布页！ 2014-06-15：1.10[BETA1] 1.[+]彻底重写UI加快启动速度、修改众多可能导致蓝屏的BUG（特别是意外蓝屏后重启运行会再次蓝屏的BUG） 2.[+]新增枚举WFP CALLOUT和WFP Driver 3.[+]新增查看所有驱动的IRP分发函数 4.[+]新增对动态WIN8/8.1开启LKD的支持 5.[+]新增系统敏感项目检查（目前只检查了IFEO，以后慢慢增加） 6.[-]取消隐藏进程功能（本软件不是进程隐藏工具）、取消中文界面（本人空闲时间有限不打算把有限的精力用在语言上） 2014-02-22：1.04[稳定版] 1.新增查看自启动项 2.新增检查系统关键部位 3.新增定位内核模块到对应的注册表 4.新增枚举内核模块时扫描可疑驱动对象 5.新增全局禁止联网 6.新增禁止写MBR 7.增强“程序员功能”中的驱动加载（可以直接加载无签名驱动） 8.修正禁用MINIFILTER过滤函数时可能导致蓝屏的BUG 9.修正注册表编辑器的一个隐性蓝屏BUG 10.修正枚举/删除超多层畸形目录时蓝屏的BUG 11.修正“行为监视器”中获取注册表信息不正确的BUG 12.修正某些电脑上“强制关机”不起作用的BUG 2013-11-29：1.03B[正式版] 1.监控访问网络 2.监视系统时间改变 3.检测/备份/恢复VBR 4.简易防火墙 5.枚举/删除SPI、BHO、IE右键菜单 6.驱动和DLL加载器 7.动态开启关闭LKD（本地内核调试） 8.增强显示枚举句柄的信息 9.增强动态开启关闭DSE（驱动签名强制） 10.恢复隐藏进程功能（增加会触发PG的警告） 11.按照WINDBG的格式修改eb/ew/ed/eq的用法 12.修复存在恶意minifilter的情况下枚举文件蓝屏、无法复制/重命名文件的BUG 13.增强底层方式读写文件/磁盘功能 14.修复一些小BUG和更加界面友好性（比如支持拖放文件） 2013-09-15：1.03A[正式版] 1.修复各种BUG，增加在WIN8.1上的稳定性 2.窗体大小可以任意调节 2013-09-08：1.03[测试版] 1.[+]支持Windows 8.1 2.[+]动态禁用Driver Signature Enforcement（驱动签名强制） 3.[*]完善了底层方式读写磁盘的逻辑（解决部分电脑上无法读写MBR的问题，遇到GPT分区会提示） 4.[*]完善了句柄的枚举 2013-08-07：1.02[正式版] 01.删除：“隐藏进程”功能 02.修复：某些listview复制信息不全的问题 03.修复：内核模块定位错误 04.修复：注册表某些项目显示不全 05.修复：解锁文件的BUG 06.修复：卸载DLL的BUG 07.新增：进程『启动时间』、『启动参数』数据 08.新增：注入DLL到系统进程（SMSS.EXE和CSRSS.EXE除外） 09.新增：简单识别工作队列线程（信息不保证正确） 10.新增：读写进程内存时禁用COPY-ON-WRITE 11.新增：内核探索者命令（虚拟地址转换、物理地址映射等） 12.新增：文件管理器功能（设置文件权限、创建硬链接、查看句柄占用信息、查看重启删除列表） 2013-02-21：1.01[正式版] 01.兼容：可以在“带网络连接的安全模式”下运行（但部分和minifilter驱动有关的功能无法使用） 02.兼容：修正了与某HIPS共用时导致获取SSDT原始地址错误的问题 03.修改：手动检测MBR Rootkit改为自动检测 04.修改：高亮非微软项目（多个相关列表） 05.增强：使用“随机驱动文件名”防止某些软件根据文件名来阻止驱动加载 06.增强：结束进程 07.增强：枚举进程模块 08.增强：INLINE HOOK检测新增一些重要的未导出函数（如KiSystemCall64等） 09.新增：窗口探测器、消息洪水攻击 10.新增：自动修复MBR（穿部分还原，测试能过『雨过天晴20130111』） 11.新增：文件扇区清零（穿部分还原，测试能过『雨过天晴20130111』、『冰点7.51.20.4170』、『影子卫士1.2.0.355』、『Returnil 2011(1.0.5.5400)』） 12.新增：导出注册表项 13.新增：定位到文件/注册表（行为监视器） 14.新增：命令行参数nosafecheck（启动时不进行安全检查加快启动速度） 15.新增：显示驱动服务名、删除驱动文件以及相关注册表项目、卸载驱动 16.新增：枚举/申请/释放/转储/反汇编进程内存、修改进程内存属性、内存内容查找 17.新增：当行为监视器拦截到驱动加载时，把驱动文件复制到C盘根目录 18.新增：根据进程名保护进程 19.新增：显示指定类型文件、给文件和文件夹加上/去除“只读/隐藏/系统属性” 20.其他：图标换成了戴尔ALIENWARE品牌的图标 2013-01-22：1.00[正式版] 1.新增文件管理功能 2.新增注册表编辑功能 2013-01-01：1.00[BETA6] 1.新增“废除回调函数”功能 2.新增枚举/恢复IDT钩子 3.新增扫描/恢复进程的IAT钩子和EAT钩子 4.新增枚举/恢复ClassPNP.sys、ATAPI.sys、NDIS.sys、TCPIP.sys的分发函数 5.新增查看特殊寄存器的值 6.新增枚举全局描述符表 7.内核探索者新增10条命令 8.行为监视器新增“排除指定PID”功能，信息显示上更加详细 2012-12-10：1.00[BETA5] 1.新增枚举FSD分发函数 2.新增枚举内核对象 3.新增枚举I/O定时器和DPC定时器 4.新增枚举MiniFilter和过滤驱动 5.新增枚举Object回调 6.新增网络连接远程IP地理地址检测 7.新增检测MBR ROOTKIT(目前还很弱，以后慢慢增强) 2012-11-10：1.00[BETA4] 1.新增支持WINDOWS 8 X64(9200) 2012-11-04：1.00[BETA3] 1.新增枚举回调 2.新增进程行为监视 3.新增中文语言界面 2012-09-16：1.00[BETA2] 1.新增注入DLL和SHELLCODE 2.部分解决内存泄漏 3.不再要破解内核才能运行 2012-09-07：1.00[BETA1] 1.新增强删注册表键/值 2.新增进程保护 3.新增INLINE HOOK扫描 4.内核内存查看 更早之前的更新： 2012-07-06：0.04[C0/QS]【修正了上一版的一些BUG，以及进行界面微调，没有功能性更新】 2012-07-02：0.04[B3/QS]【新增枚