Windows-Kernel-Explorer（德国人写的ARK工具，支持WIN10 insider preview）

Wednesday

话说以前知名的ARK工具，要么不更新了，要么更新很慢，让人很郁闷啊有木有！！！
最近找到这个工具，号称不用更新程序文件就可以在WIN10预览版系统运行，强烈推荐！！！
下载地址：https://github.com/AxtMueller/Windows-Kernel-Explorer

介绍

Windows Kernel Explorer（您可以简单地称之为“WKE”）是一个免费但功能强大的Windows内核研究工具。它支持从Windows XP到Windows 10,32位和64位。与流行的工具（如WIN64AST和PCHunter）相比，WKE是一个高度可定制的工具，它可以在最新的Windows 10上运行而无需更新二进制文件。



WKE如何在最新的Windows 10上运行

如果没有对当前系统的本机支持，WKE将自动下载所需的符号文件，90％的功能将在此步骤后工作。对于符号文件中不存在的一些所需数据，WKE将尝试从DAT文件中获取它们（因此，当新的Windows 10发布时，我将上传最新的DAT文件到GitHub）。如果WKE没有互联网访问权限，50％的功能仍然可以使用。目前，Windows XP到Windows 10 RS3（16299）提供本机支持，解析符号文件和DAT文件完全支持RS4和RS5。



如何自定义WKE

您可以通过编辑配置文件来自定义WKE。目前，您可以设置驱动程序的设备名称和符号链接名称以及过滤器的高度。您还可以启用内核模式和用户模式特征随机化，以避免被恶意软件检测到。如果重命名WKE的EXE文件，则需要使用相同的名称重命名SYS / DAT / INI文件。



关于数字签名

由于我没有数字证书，所以我必须使用来自HT SRL的泄漏数字证书来签署WKE的驱动程序。我使用“DSEFIX”作为加载驱动程序的替代解决方案，如果WKE无法加载驱动程序，您可以尝试使用“WKE_dsefix.bat”启动WKE。



核心功能

流程管理（模块，线程，句柄，内存，窗口，Windows挂钩等）

文件管理

注册管理

内核模式回调，过滤器，定时器，NDIS块和WFP填充管理

内核模式钩子扫描（MSR，EAT，IAT，CODE PATCH，SSDT，SSSDT，IDT，IRP，OBJECT）

用户模式挂钩扫描（内核回调表，EAT，IAT，代码补丁）

内存编辑器和符号解析器（它看起来像WINDBG的简化版本）

保护进程，隐藏/保护/重定向文件或目录，保护注册表并伪造注册表数据

驱动程序，进程和进程模块的路径修改

启用/禁用一些令人讨厌的Windows组件



修订记录

当前版本：20181231

这是第一个公开版本。



感谢名单

WIN64AST团队（我参考了UI设计和该软件的许多功能）

PCHunter团队（我参考了这个软件的一些功能）

ProcessHacker团队（我研究了这个软件的源代码，但我没有在我的项目中使用它）

DSEFIX的作者（我用它作为加载驱动程序的替代解决方案）



联络我

我的EMAIL地址是AxtMueller＃gmx.de（将＃替换为@）。

请用英语或德语写EMAIL，我只回复我感兴趣的EMAIL。

https://bbs.pediy.com/thread-248818.htm（转载自看雪论坛）

b8s4l6

有图吗

zgzxp

ark工具很少了，实测支持windows10 1809 17763.253 64位
运行时会自动下载需要的符号文件

Yannis

没找到下载地址QAQ

piouu

Yannis 发表于 2019-1-28 04:23
没找到下载地址QAQ

https://raw.githubusercontent.co ... /binaries/WKE64.exe

Yannis

piouu 发表于 2019-1-29 12:18
https://raw.githubusercontent.com/AxtMueller/Windows-Kernel-Explorer/master/binaries/WKE64.exe[:01 ...

谢谢。~

yjwfdc

火绒报毒，是不是误报

52158110

谢谢楼主分享。

123rty123

终于有新的ark工具用了

xzhlksh

yjwfdc 发表于 2019-1-30 14:11
火绒报毒，是不是误报

作者在github上有说明，因为软件用了HT SRL的泄漏数字证书来签署WKE的驱动程序，而2015年以后很多黑客也会用这个数字证书了签名病毒，所以目前几乎所有杀软都会把这个数字证书入库当做病毒查杀