Windows-Kernel-Explorer : 內核研究工具

新聞 02-06

介紹

Windows Kernel Explorer（你可以稱其為「WKE」）是一款免費但功能強大的Windows內核研究工具。它支持從Windows XP到Windows 10的所有32位和64位版本。跟類似WIN64AST和PCHunter這樣的熱門工具相比，WKE的可自定義程度更高，而且還可以在不需要升級代碼文件的情況下直接在最新版本的Windows 10上運行。

WKE工具獲取

下載地址：【GitHub傳送門】

代碼克隆命令：

git clone https://github.com/AxtMueller/Windows-Kernel-Explorer.git

為何WKE可以直接在最新版本Windows 10上運行？

如果當前系統環境缺少組件的話，WKE將會自動下載所需的符號文件，下載安裝完成之後，WKE中90%的功能都可以正常使用了。如果符號文件裡面沒有所需數據的話，WKE將會嘗試從DAT文件中獲取（所以新版Windows 10發布之後，我會上傳最新的DAT文件到GitHub）。如果沒有聯網的話，WKE只有50%的功能可用。

如何自定義WKE

你可以通過編輯配置文件來對WKE進行定製開發。目前，你可以設置設備名稱和驅動器的符號鏈接名稱，以及過濾器屬性。除此之外，你還可以啟用內核模式和用戶模式特徵隨機化來躲避惡意軟體的檢測。如果你重命名了WKE的EXE文件，你還需要同時重命名SYS/DAT/INI文件的文件名。

主要功能

1、進程管理（模塊、線程、內存、窗口和窗口Hook等等）；

2、文件管理；

3、註冊表管理；

4、內核模式調用，過濾器，計時器、NDIS塊和WFP功能管理；

5、內核模式鉤子掃描（MSR、EAT、IAT、SSDT、SSSDT、IDT、IRP、OBJECT）；

6、用戶模式鉤子掃描（內核調用表、EAT、IAT）；

7、內存編輯器和符號解析器；

8、保護進程、隱藏/保護/重定向文件或目錄，保護註冊表；

9、驅動、進程和進程模塊路徑修改；