Windows Kernel Explorer (you can simply call it as "WKE") is a free but powerful Windows kernel research tool. It supports from Windows XP to Windows 10 (32-bit and 64-bit). Compared to WIN64AST and PCHunter, WKE can run on the latest Windows 10 without updating binary files.

How WKE works on the latest Windows 10
WKE will automatically download required symbol files if the current system is not supported natively, 90% of the features will work after this step. For some needed data that doesn't exist in symbol files, WKE will try to retrieve them from the DAT file (when new Windows 10 releases, I will upload the newest DAT file to GitHub). If WKE cannot access the internet, 50% of the features will still work. Currently, native support is available from Windows XP to Windows 10 RS3, Windows 10 from RS4 to 19H1 are fully supported by parsing symbol files and DAT file.

How to customize WKE
You can customize WKE by editing the configuration file. Currently, you can specify the device name and symbolic link name of driver, and altitude of filter. You can also enable kernel-mode and user-mode characteristics randomization to avoid being detected by malware. If you rename the EXE file of WKE, then you need to rename SYS/DAT/INI files together with the same name.

About digital signature and negative report from Anti-Virus softwares
Because I don't have a digital certificate, I have to use the leaked digital certificate from HT SRL to sign drivers of WKE. I use "DSEFIX" as an alternative solution to bypass DSE, you can try to launch WKE with "WKE_dsefix.bat" if WKE loads driver unsuccessfully on your system. Signing files with the HT SRL digital certificate has a side effect: almost all anti-virus softwares infer files with HT SRL digital signature are viruses, because many hackers use it to sign malwares since 2015. Only idiots implant malicious code into a tool for experienced programmers and reverse engineers, because most users only use WKE in test environments, this kind of behavior is meaningless.

Main Features
Process management (Module, Thread, Handle, Memory, Window, Windows Hook, etc.)
File management (NTFS partition analysis, low-level disk access, etc.)
Registry management and HIVE file operation
Kernel-mode callback, filter, timer, NDIS blocks and WFP callout functions management
Kernel-mode hook scanning (MSR, EAT, IAT, CODE PATCH, SSDT, SSSDT, IDT, IRP, OBJECT)
User-mode hook scanning (Kernel Callback Table, EAT, IAT, CODE PATCH)
Memory editor and symbol parser (it looks like a simplified version of WINDBG)
Hide driver, hide/protect process, hide/protect/redirect file or directory, protect registry and falsify registry data
Path modification for driver, process and process module
Enable/disable some obnoxious Windows components

Link - --> Link <--

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: Gideon Vi, d745150, BlackCode, morgot, plutos, hors, difexacaw, Ahmadmansoor

About open source

Axt Müller:




-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Они все как под копирку одинаковые. Каких откровений вы хотели там увидеть, плутос? Кучу оффсетов под разные венды?

| Сообщение посчитали полезным: difexacaw

Alchemistry пишет:
Они все как под копирку одинаковые

Если не трудно, выложи пожалуйста пару ссылок, но именно чтобы с исходным кодом были.
Заранее спасибо!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos

Чем это лучше старого доброго GMER ?

Штатный набор примитивов - таблицы обьектов, поверхность ядра. Таких тулз навалом, Alchemistry очень точно сказал.

-----
vx

| Сообщение посчитали полезным: plutos

Ну так-то это очередной "антируткит" комбайн с дровом подписанный утекшим сертом, ему уже сто лет в обед, я как-то давно тыкал его, но после бсода забил в пользу более стабильных собратьев.

С юзермодной частью все итак понятно, хотя и по ядру много есть чего покурить, даже исходники Windows Research Kernel в свободном доступе лет 8 как есть.

Например вот полезные линки по теме, плюс The Kernel-Bridge Framework и кучу подобных вещей на гите можно посмотреть (емнип есть и сырки аналогов сабжа). Тут от задач в общем-то отталкиваться надо, при большом желании все найдется

| Сообщение посчитали полезным: plutos

VOLKOFF

А почему вьюверы обьектов называют антируткитами ?

Был весьма старый проект сайд --> Link <-- - отладочный фильтр, глобальный в системе. Эти механизмы остались и в 10-ке. Так вот данный тулз этот фильтр врядле найдёт. Так как он не предназначен для обнаружения в динамике активности и статик внутренности ядра не трогает судя по всему. А обьекты(sst/gdt/etc) лучше смотреть отладчиком. Так как там есть дебаг символы и с отладчиком можно работать, в отличие от пару пунктов меню как в таких тулзах.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Чем это лучше старого доброго GMER
а что, GMER open source? Он у меня есть, но только в виде .exe. Искал исходники, но не нашел.

VOLKOFF пишет:
плюс The Kernel-Bridge Framework
just what the doctor ordered!!!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos
https://github.com/songbei6/kerneldetective
https://github.com/gerronjo/openlibs итд

| Сообщение посчитали полезным: plutos