介绍

Windows Kernel Explorer（您可以简单地称之为“WKE”）是一个免费但功能强大的Windows内核研究工具。它支持从Windows XP到Windows 10,32位和64位。与流行的工具（如WIN64AST和PCHunter）相比，WKE是一个高度可定制的工具，它可以在最新的Windows 10上运行而无需更新二进制文件。

WKE如何在最新的Windows 10上运行

如果没有对当前系统的本机支持，WKE将自动下载所需的符号文件，90％的功能将在此步骤后工作。对于符号文件中不存在的一些所需数据，WKE将尝试从DAT文件中获取它们（因此，当新的Windows 10发布时，我将上传最新的DAT文件到GitHub）。如果WKE没有互联网访问权限，50％的功能仍然可以使用。目前，Windows XP到Windows 10 RS3（16299）提供本机支持，解析符号文件和DAT文件完全支持RS4和RS5。

如何自定义WKE

您可以通过编辑配置文件来自定义WKE。目前，您可以设置驱动程序的设备名称和符号链接名称以及过滤器的高度。您还可以启用内核模式和用户模式特征随机化，以避免被恶意软件检测到。如果重命名WKE的EXE文件，则需要使用相同的名称重命名SYS / DAT / INI文件。

关于数字签名

由于我没有数字证书，所以我必须使用来自HT SRL的泄漏数字证书来签署WKE的驱动程序。我使用“DSEFIX”作为加载驱动程序的替代解决方案，如果WKE无法加载驱动程序，您可以尝试使用“WKE_dsefix.bat”启动WKE。

核心功能

流程管理（模块，线程，句柄，内存，窗口，Windows挂钩等）

文件管理

注册管理

内核模式回调，过滤器，定时器，NDIS块和WFP填充管理

内核模式钩子扫描（MSR，EAT，IAT，CODE PATCH，SSDT，SSSDT，IDT，IRP，OBJECT）

用户模式挂钩扫描（内核回调表，EAT，IAT，代码补丁）

内存编辑器和符号解析器（它看起来像WINDBG的简化版本）

保护进程，隐藏/保护/重定向文件或目录，保护注册表并伪造注册表数据

驱动程序，进程和进程模块的路径修改

启用/禁用一些令人讨厌的Windows组件

修订记录

当前版本：20181231

这是第一个公开版本。

感谢名单

WIN64AST团队（我参考了UI设计和该软件的许多功能）

PCHunter团队（我参考了这个软件的一些功能）

ProcessHacker团队（我研究了这个软件的源代码，但我没有在我的项目中使用它）

DSEFIX的作者（我用它作为加载驱动程序的替代解决方案）

联络我

我的EMAIL地址是AxtMueller＃gmx.de（将＃替换为@）。

请用英语或德语写EMAIL，我只回复我感兴趣的EMAIL。