Windows-Kernel-Explorer : 免費但功能強大的Windows核心研究工具

摘要： 介紹 Windows Kernel Explorer（你可以稱其為“WKE”）是一款免費但功能強大的Windows核心研究工具。它支援從Windows XP到Windows 10的所有32位和64位版本。跟類似WIN64AST和PCHunter這樣的熱門工具相比，WKE的可自定義程度更高，...

介紹

Windows Kernel Explorer（你可以稱其為“WKE”）是一款免費但功能強大的Windows核心研究工具。它支援從Windows XP到Windows 10的所有32位和64位版本。跟類似WIN64AST和PCHunter這樣的熱門工具相比，WKE的可自定義程度更高，而且還可以在不需要升級程式碼檔案的情況下直接在最新版本的Windows 10上執行。

WKE工具獲取

下載地址：【 GitHub傳送門 】

程式碼克隆命令：

git clone https://github.com/AxtMueller/Windows-Kernel-Explorer.git

為何WKE可以直接在最新版本Windows 10上執行？

如果當前系統環境缺少元件的話，WKE將會自動下載所需的符號檔案，下載安裝完成之後，WKE中90%的功能都可以正常使用了。如果符號檔案裡面沒有所需資料的話，WKE將會嘗試從DAT檔案中獲取（所以新版Windows 10釋出之後，我會上傳最新的DAT檔案到GitHub）。如果沒有聯網的話，WKE只有50%的功能可用。

如何自定義WKE

你可以通過編輯配置檔案來對WKE進行定製開發。目前，你可以設定裝置名稱和驅動器的符號連結名稱，以及過濾器屬性。除此之外，你還可以啟用核心模式和使用者模式特徵隨機化來躲避惡意軟體的檢測。如果你重新命名了WKE的EXE檔案，你還需要同時重新命名SYS/DAT/INI檔案的檔名。

主要功能

1、 程序管理（模組、執行緒、記憶體、視窗和視窗Hook等等）；
2、 檔案管理；
3、 登錄檔管理；
4、 核心模式呼叫，過濾器，計時器、NDIS塊和WFP功能管理；
5、 核心模式鉤子掃描（MSR、EAT、IAT、SSDT、SSSDT、IDT、IRP、OBJECT）；
6、 使用者模式鉤子掃描（核心呼叫表、EAT、IAT）；
7、 記憶體編輯器和符號解析器；
8、 保護程序、隱藏/保護/重定向檔案或目錄，保護登錄檔；
9、 驅動、程序和程序模組路徑修改；
10、啟用/禁用某些Windows元件；

工具執行截圖

WindowsXP 32位：

WindowsXP 64位：

Windows10 32位：

Windows10 64位：

主選單：

模組路徑修改：

記憶體編輯器（列印結構體）：

記憶體編輯器（反編譯函式）

* 參考來源： AxtMueller ，FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM