ke64 2.0 ARK工具(win7-win11)
免责声明: 这只是一个免费的辅助软件, 如果您使用本软件, 给您直接或者间接造成损失、损害, 本人概不负责. 从您使用本软件的一刻起, 将视为您已经接受了本免责声明。本软件未经作者书面授权禁止用于商业用途;禁止使用本软件恶意破环计算机系统或软件环境等等等...违法行为。
本软件仅限于学习交流,如侵权请在24小时进行删除。
ke64是一个免费但功能强大的内核研究工具。它支持从Windows 7(7601)到Windows 10(19045)(win11-22621),仅支持x64位系统,请在虚拟机运行。
1. 进程,线程,模块,窗口,内存,定时器,热键,(等显示 隐藏,欺骗,杀进程,杀线程,卸载,移除)
2. 用户钩子(消息钩子,事件钩子,inline,iat,eat,hook检测)
3. 驱动模块(卸载等操作)
4. FilterDriver(File,Disk,RAW,Volume,Keyboard,Mouse,I8042prt,Tdx,NDIS,PnpManager)(移除等操作)
5. CreateProcess,LoadImage,CreateThread,CmpCallback,Shutdown(移除等操作)
6. Callbak,ObjectType,ObjectTypeHook,DPC,WFPCallout,minifilter,WorkerThread(堆栈回溯)(移除等操作)
7. IRP(Keyboard,Mouse,I8042prt,ndis,nsiproxy,tcpip,partmgr,disk,ntfs,scsi,npfs,fltmgr)
8. GDI,IDT
9. 端口查看
10. 启动项(删除等操作)
11. 服务(启动,停止,暂定,恢复,重启,删除,启动类型,定位注册表,属性)
12. 注册表管理(删除,重命名,导出,新建(项,二进制,DWORD,QWORD,多字符串,可扩充字符串),修改(DWORD,QWORD,多字符串))
13. 文件管理(删除,文件快速定位,文件锁定,重命名,拷贝文件,去除只读隐藏属性,设置只读隐藏属性,属性)
14. 新增行为监视(行为包括:
文件(创建,读,写,删除,更名,设置属性,设置权限),
注册表(打开,创建,删除项,删除值,读值,更名项,设置安全,查询值,设置值),
进程(创建, 启动,销毁),
线程(创建,销毁),
模块(加载),
网络(连接,监听,接收,发送)
)等行为监控。
15. 应用层和驱动层(支持反汇编和汇编内存)
16. 功能(...)
2.0.0.0
1. 新增行为监视(行为包括:
文件(创建,读,写,删除,更名,设置属性,设置权限),
注册表(打开,创建,删除项,删除值,读值,更名项,设置安全,查询值,设置值),
进程(创建, 启动,销毁),
线程(创建,销毁),
模块(加载),
网络(连接,监听,接收,发送)
)等行为监控。
2. 新增结束删除进程
3. 增强文件删除(解决 反应慢 蓝屏)
4. 增加对隐藏进程占用文件删除
5. 新增进程保护
6. 新增进程隐藏(后面版本在开启)
7. 新增进程伪装(后面版本在开启)
8. 新增PlugPlay即插即用回调枚举
9. 新增内存扫描Ldr驱动模块
10. 新增文件定位输入栏 回车
11. 新增文件暴力删除(可以无视句柄占用,irp占坑,硬链接,等等等...)
12. 重写文件句柄查看包括隐藏更底层(解决 反应慢 蓝屏)
13. 修改文件树列表右击并选中
14. 修复列表删除文件不会清理显示
15. 修复文件转到
16. 修改列表颜色深一点点
17. 修复已知Bug
18. 优化部分功能
github:https://github.com/alinml/ke64
爱盘:https://down.52pojie.cn/Tools/Anti_Rootkit/
百度网盘,此链接可能不是最新:https://pan.baidu.com/s/1GvRXn1c-nnjNQNSM79c8Xw
提取码:mafa alinml 发表于 2022-1-14 07:09
随机文件是驱动文件,没有使用强删,而是移动到临时文件夹。
我这还在当前文件夹里,建议删除,或者放到temp里加载,我这目录比较多,开始都没注意到是谁的。 alinml 发表于 2022-1-13 19:59
是选择文件选项卡,卡死吗?如果是的话,这个bug我也遇到了,已经在下个版本修复。
对,就是这里,还有个问题,运行后当前目录的随机名文件是驱动?加载没删除? 挺好的工具,发现个小问题,程序关于里的版本号没有更新,收录爱盘了。 谢了,我正在到处找这种工具,先收藏,晚点下 Hmily 发表于 2021-10-19 11:23
挺好的工具,发现个小问题,程序关于里的版本号没有更新,收录爱盘了。
不发个连接庆祝下么;www 本帖最后由 alinml 于 2021-11-4 22:01 编辑
Samael 发表于 2021-10-26 17:17
不发个连接庆祝下么
标题栏版本号没有更新ke64 0.0.0.8 ... 测试了下win10 64 ,扫描进程r3钩子卡住,另外还缺少一个重要的注册表编辑功能。 Hmily 发表于 2021-11-5 14:24
测试了下win10 64 ,扫描进程r3钩子卡住,另外还缺少一个重要的注册表编辑功能。
感谢反馈,问题我测测看是否能重现,注册表抽点时间在加吧。 不错。很需要这个 alinml 发表于 2021-11-5 19:28
感谢反馈,问题我测测看是否能重现,注册表抽点时间在加吧。
现在的最新版在我系统(19043.1415)上打开文件按钮直接卡死。