介绍

Windows Kernel Explorer（您可以简称为“ WKE”）是一个免费但功能强大的内核研究工具。它支持从Windows XP到Windows 10（32位和64位）。与WIN64AST和PCHunter相比，WKE可以在最新的Windows 10上运行，而无需更新二进制文件。

WKE如何在最新的Windows 10上工作

如果本机不支持当前系统，则WKE将自动下载所需的符号文件，此步骤后90％的功能将可用。对于符号文件中不存在的一些所需数据，WKE将尝试从DAT文件中检索它们（当新的Windows 10版本发布时，我会将新的DAT文件上传到GitHub）。如果WKE无法访问Internet，则50％的功能仍将起作用。当前，解析符号文件和DAT文件完全支持从Windows XP到Windows 10 RS3的本机支持，从RS4到20H1的Windows 10完全支持。

如何自定义WKE

您可以通过编辑配置文件来自定义WKE。当前，您可以指定驱动程序的设备名称和符号链接名称，以及过滤器的高度。您还可以启用内核模式和用户模式特征随机化，以避免被恶意软件检测到。如果重命名WKE的EXE文件，则需要重命名具有相同名称的SYS / DAT / INI文件。

关于防病毒软件的数字签名和负面评论

因为我没有数字证书，所以必须使用HT SRL泄漏的数字证书来签署WKE的驱动程序。我使用“ DSEFIX”作为绕过DSE的替代解决方案，如果WKE无法在系统上成功加载驱动程序，则可以尝试使用“ WKE_dsefix.bat”启动WKE。使用HT SRL数字证书对文件签名会产生副作用：几乎所有具有HT SRL数字签名的防病毒软件都认为文件是恶意软件，因为自2015年以来，许多黑客使用它来对恶意软件进行签名。只有白痴才会将恶意代码植入具有经验的工具中程序员和逆向工程师，因为大多数用户仅在测试环境中使用WKE，所以这种行为是没有意义的。

关于未成功加载驱动程序

如果WKE提示“无法加载驱动程序”，则可能是由于以下原因：

• 安全启动已启用。
• 防病毒软件阻止驱动程序加载。

解决方案：

• 禁用安全启动。
• 将WKE文件添加到防病毒软件的白名单中。

关于开源

这有点尴尬，所以我直截了当地说：我不打算共享该工具的源代码，但是我可能会共享与该工具关联的测试程序的一些源代码。

关于WKE可以通过反作弊解决方案进行检测

我收到了太多此问题的垃圾邮件。我必须声明：WKE并非旨在绕过任何“反作弊”解决方案。如果需要在特定的环境中使用WKE，请订购“二进制定制”服务。

主要特点

• 进程管理（模块，线程，句柄，内存，窗口，Windows挂钩等）
• 文件管理（NTFS分区分析，低级磁盘访问等）
• 注册表管理和HIVE文件操作
• 内核模式回调，过滤器，计时器，NDIS块和WFP标注功能管理
• 内核模式挂钩扫描（MSR，EAT，IAT，CODE PATCH，SSDT，SSSDT，IDT，IRP，对象）
• 用户模式挂钩扫描（内核回调表，EAT，IAT，CODE PATCH）
• 内存编辑器和符号解析器（看起来像WINDBG的简化版）
• 隐藏驱动程序，隐藏/保护进程，隐藏/保护/重定向文件或目录，保护注册表并伪造注册表数据
• 驱动程序，过程和过程模块的路径修改
• 启用/禁用某些令人讨厌的Windows组件

下载地址：

说句题外话，PChunter也快发布新版本了，另外关于WKE被加壳了导致无法汉化，所以可能并不适合新手使用。

个人觉得WKE要比PChunter更好用一点儿，但我得承认这种优秀的内核工具我写不出来，所以他们都很棒。

温馨提示: 此处内容需要您评论本文并刷新（按F5）才能查看!

通知：博客已出售

粉丝可关注公众号：大学生的电脑课，获取最新动态。博客即将关闭

软件无法下载/安装/其它电脑问题，加企鹅群：709531763

有问题直接群里问，在线的时候有问必答,私聊一般都不看

想学电脑知识可以关注我的公众号