WIN64AST全稱Win64 Advanced System Tool，是一個(gè)針對64位Windows操作系統(tǒng)設(shè)計(jì)的ARK類工具，本軟件目前支持WIN7/2008R2/8/2012/8.1/2012R2/10/2016。由于本軟件的界面用VB2010寫成，所以WIN7需要安裝.NET Framework 4運(yùn)行庫（安裝包大小約為48MB，以2M的網(wǎng)速計(jì)算，下載時(shí)間大約為5分鐘；安裝時(shí)間也大約為5分鐘，安裝完畢后不需要重啟電腦，也沒有任何后續(xù)麻煩；WIN8/2012以及之后的系統(tǒng)自帶此庫，不需要單獨(dú)安裝）。

針對32位的 Windows XP 或 Windows 7 系統(tǒng)，已經(jīng)有很多成熟的工具了。

比如冰刃、早期的冰刃 (IceSword)、Wsyscheck、到后來的狙劍 (SnipeSword)、XueTr，還有最近很給力的 PowerTool 等。

但是64位操作系統(tǒng)下的 ARK 工具發(fā)展相對緩慢，三個(gè)月之前 IThurricane 才發(fā)布了 PowerTool 64位版，并支持 Windows 8。

而 Tesla.Angela 開發(fā)的 Win64AST 是另一款、也可能是全球第一個(gè)專用于64位系統(tǒng)的內(nèi)核級的高級系統(tǒng)工具。

由于使用了特殊的內(nèi)核技術(shù)，WIN64AST 能夠從底層控制系統(tǒng)，有很大的操作權(quán)限，是一個(gè)強(qiáng)大的 Anti Rootkit 工具。

能夠查看并管理64位 Windows 系統(tǒng)的各種內(nèi)核信息，可用于手工殺毒、輔助調(diào)試、內(nèi)核研究等。

功能特點(diǎn)：

1. 進(jìn)程/內(nèi)存/線程/模塊/句柄/窗口管理

2. 內(nèi)核模塊查看

3. 網(wǎng)絡(luò)連接查看和禁止

4. 查看/恢復(fù)SSDT和Shadow SSDT

5. 掃描/恢復(fù)RING3和RING0的內(nèi)聯(lián)鉤子

6. 查看并刪除消息鉤子

7. 查看/恢復(fù)重要驅(qū)動(dòng)程序分發(fā)函數(shù)

8. 查看/恢復(fù)內(nèi)核對象例程鉤子

9. 枚舉通告和回調(diào)

10. 枚舉I/O定時(shí)器

11. 枚舉DPC定時(shí)器

12. 枚舉MiniFilter/失效MiniFilter的回調(diào)函數(shù)

13. 枚舉/摘除過濾驅(qū)動(dòng)

14. 查看/備份/恢復(fù)/自動(dòng)修復(fù)主引導(dǎo)記錄(MBR)

15. 進(jìn)程行為監(jiān)視（創(chuàng)建進(jìn)程/創(chuàng)建線程/加載驅(qū)動(dòng)/修改注冊表/改動(dòng)文件系統(tǒng)/連接網(wǎng)絡(luò)/修改時(shí)間）

16. 內(nèi)核內(nèi)存編輯

17. 在驅(qū)動(dòng)里枚舉文件、強(qiáng)制新建/解鎖/刪除/破壞文件

18. 在驅(qū)動(dòng)里枚舉注冊表、強(qiáng)制刪除/新建/重命名注冊表鍵(KEY)和注冊表值(VALUE)

19. 禁止創(chuàng)建進(jìn)程/禁止創(chuàng)建文件/禁止創(chuàng)建注冊表鍵(KEY)和注冊表值(VALUE)/禁止加載驅(qū)動(dòng)

20. 校驗(yàn)文件簽名

21. 枚舉/恢復(fù)中斷描述符表鉤子

22. .枚舉全局描述符表

23. 顯示特殊寄存器的值

24. 檢測進(jìn)程的IAT鉤子和EAT鉤子

25. 查看/備份/恢復(fù)/自動(dòng)修復(fù)卷引導(dǎo)記錄(VBR)

26. 網(wǎng)絡(luò)防火墻

27. 枚舉/刪除SPI、BHO、IE右鍵菜單

28. DLL/驅(qū)動(dòng)加載器

29. 動(dòng)態(tài)開啟/關(guān)閉LKD和DSE（警告：此功能會(huì)觸發(fā) PatchGuard 導(dǎo)致藍(lán)屏，僅限“內(nèi)核開發(fā)人員”使用）

30. 隱藏進(jìn)程（警告：此功能會(huì)觸發(fā) PatchGuard 導(dǎo)致藍(lán)屏，僅限“內(nèi)核開發(fā)人員”使用）

更新日志：

1. 解決部分系統(tǒng)上用戶態(tài)HOOK掃描不全的問題

2. 解決內(nèi)核態(tài)INLINE HOOK掃描不全的問題

3. 增加掃描內(nèi)核態(tài)EAT/IAT HOOK的功能

4. 增加掃描全局無簽名DLL的功能

5. 增強(qiáng)文件破壞功能（支持多種磁盤類型并能無視大部分HOOK）

6. 增加顯示更多IRP分發(fā)函數(shù)的信息

7. 增加顯示更多OBJECT類型的信息

8. 增強(qiáng)無簽名DLL/SYS加載器功能（支持CALL導(dǎo)出函數(shù)和驅(qū)動(dòng)控制碼）

9. 增加重啟突破WIN7/8/8.1X64的PATCHGUARD的功能

10. 增加更多防火墻的過濾條件（端口、目錄[可以禁止整個(gè)目錄下的程序訪問網(wǎng)絡(luò)]）

11. 恢復(fù)并完善“行為監(jiān)視器”功能

12. 其它一些小的改進(jìn)