Windows Kernel Explorer – Kleines Tool, um den Windows Kernel zu untersuchen

Kurzer Hinweis für diejenigen, die gerne in die „Innereien“ von Windows schauen und diese untersuchen. Also nichts für „Otto Normalus“, wie ich es in dem Fall auch bin. Der Windows Kernel Explorer (WKE) ist ein Werkzeug mit dem man viele Prozesse und Funktionen von Windows 10 bis hinter zu Windows XP überprüfen oder sogar deaktivieren kann.

Wer in dem Gebiet nicht ohne Wissen ist, weiß dass es hier auch die Tools WIN64AST oder PCHunter gibt. Der Windows Kernel Explorer ist den beiden in der Anpassung überlegen. So kann auch der WKE auch unter der aktuellen Windows 10 ohne Aktualisierung von Binärdateien ausgeführt werden.

Was kann der Windows Kernel Explorer:

• Prozessmanagement (Modul, Thread, Handle, Speicher, Windows), Windows Hook, etc.
• Dateiverwaltung
  Registry-Verwaltung
• Kernel-Modus Rückruf, Filter, Timer, NDIS-Blöcke und WFP-Callout-Funktionsmanagement
• Kernel-Modus-Hook-Scanning (MSR, EAT, IAT, CODE PATCH, SSDT, SSSDT, IDT, IRP, OBJECT)
• Hook-Scanning im Benutzermodus (Kernel Callback Table, EAT, IAT, CODE PATCH)
• Speichereditor und Symbolparser (es sieht aus wie eine vereinfachte Version von WINDBG)
• Prozess schützen, Datei oder Verzeichnis verstecken/schützen/umleiten, Registrierung schützen und Registry-Daten verfälschen
  Pfadänderung für Treiber, Prozess und Prozessmodul
• Aktivieren/Deaktivieren einiger unangenehmer Windows-Komponenten

Bevor man aber loslegt, sollte man sich die Readme unbedingt durchlesen. Da AxtMueller kein digitales Zertifikat hat und auf ein älteres zurückgreifen musste, welches von vielen AV-Programmen als Malware angesehen wird.

Info und Download:

• github.com/AxtMueller/Windows-Kernel-Explorer