介绍
Windows Kernel Explorer(你可以称其为 "WKE") 是一款免费但功能强大的 Windows 内核研究工具. 它支持从 Windows XP 到 Windows 10 的所有 32 位和 64 位版本. 跟类似 WIN64AST 和 PCHunter 这样的热门工具相比, WKE 的可自定义程度更高, 而且还可以在不需要升级代码文件的情况下直接在最新版本的 Windows 10 上运行.
WKE 工具获取
下载地址:[ GitHub 传送门 ]
代码克隆命令:
Git clone https://github.com/AxtMueller/Windows-Kernel-Explorer.git
为何 WKE 可以直接在最新版本 Windows 10 上运行?
如果当前系统环境缺少组件的话, WKE 将会自动下载所需的符号文件, 下载安装完成之后, WKE 中 90% 的功能都可以正常使用了. 如果符号文件里面没有所需数据的话, WKE 将会尝试从 DAT 文件中获取 (所以新版 Windows 10 发布之后, 我会上传最新的 DAT 文件到 GitHub). 如果没有联网的话, WKE 只有 50% 的功能可用.
如何自定义 WKE
你可以通过编辑配置文件来对 WKE 进行定制开发. 目前, 你可以设置设备名称和驱动器的符号链接名称, 以及过滤器属性. 除此之外, 你还可以启用内核模式和用户模式特征随机化来躲避恶意软件的检测. 如果你重命名了 WKE 的 EXE 文件, 你还需要同时重命名 SYS/DAT/INI 文件的文件名.
主要功能
, 进程管理 (模块, 线程, 内存, 窗口和窗口 Hook 等等);
, 文件管理;
, 注册表管理;
, 内核模式调用, 过滤器, 计时器, NDIS 块和 WFP 功能管理;
, 内核模式钩子扫描 (MSR,EAT,IAT,SSDT,SSSDT,IDT,IRP,OBJECT);
, 用户模式钩子扫描 (内核调用表, EAT,IAT);
, 内存编辑器和符号解析器;
, 保护进程, 隐藏 / 保护 / 重定向文件或目录, 保护注册表;
, 驱动, 进程和进程模块路径修改;
, 启用 / 禁用某些 Windows 组件;
工具运行截图
WindowsXP 32 位:
WindowsXP 64 位:
Windows10 32 位:
Windows10 64 位:
主菜单:
模块路径修改:
内存编辑器 (打印结构体):
内存编辑器 (反编译函数)
来源: http://www.tuicool.com/articles/3QfUJza