Windows Kernel Explorer(您可以简称为“ WKE”)是一个免费但功能强大的内核研究工具。它支持从Windows XP到Windows 10(32位和64位)。与WIN64AST和PCHunter相比,WKE可以在最新的Windows 10上运行,而无需更新二进制文件。
如果本机不支持当前系统,则WKE将自动下载所需的符号文件,此步骤后90%的功能将可用。对于符号文件中不存在的一些所需数据,WKE将尝试从DAT文件中检索它们(当新的Windows 10版本发布时,我会将新的DAT文件上传到GitHub)。如果WKE无法访问Internet,则50%的功能仍将起作用。当前,解析符号文件和DAT文件完全支持从Windows XP到Windows 10 RS3的本机支持,从RS4到20H1的Windows 10完全支持。
您可以通过编辑配置文件来自定义WKE。当前,您可以指定驱动程序的设备名称和符号链接名称,以及过滤器的高度。您还可以启用内核模式和用户模式特征随机化,以避免被恶意软件检测到。如果重命名WKE的EXE文件,则需要重命名具有相同名称的SYS / DAT / INI文件。
因为我没有数字证书,所以必须使用HT SRL泄漏的数字证书来签署WKE的驱动程序。我使用“ DSEFIX”作为绕过DSE的替代解决方案,如果WKE无法在系统上成功加载驱动程序,则可以尝试使用“ WKE_dsefix.bat”启动WKE。使用HT SRL数字证书对文件签名会产生副作用:几乎所有具有HT SRL数字签名的防病毒软件都认为文件是恶意软件,因为自2015年以来,许多黑客使用它来对恶意软件进行签名。只有白痴才会将恶意代码植入具有经验的工具中程序员和逆向工程师,因为大多数用户仅在测试环境中使用WKE,所以这种行为是没有意义的。
如果WKE提示“无法加载驱动程序”,则可能是由于以下原因:
解决方案:
这有点尴尬,所以我直截了当地说:我不打算共享该工具的源代码,但是我可能会共享与该工具关联的测试程序的一些源代码。
我收到了太多此问题的垃圾邮件。我必须声明:WKE并非旨在绕过任何“反作弊”解决方案。如果需要在特定的环境中使用WKE,请订购“二进制定制”服务。
说句题外话,PChunter也快发布新版本了,另外关于WKE被加壳了导致无法汉化,所以可能并不适合新手使用。
个人觉得WKE要比PChunter更好用一点儿,但我得承认这种优秀的内核工具我写不出来,所以他们都很棒。
感谢感谢
2021年1月19日 上午12:39经济瓦咔咔就咔咔
2020年12月24日 上午1:54很有用的样子
2020年12月22日 下午11:44哒哒哒哒哒哒多
2020年12月10日 下午5:01感谢大佬
2020年12月10日 上午1:40