AptitudeSystem
2.0(2017-03-07)
描写叙述:Windows内核研究辅助工具
支持的系统:Windows
7、Windows 8、Windows 8.1、Windows 10同一时候支持32位和64位的系统
測试过的系统:Windows
7(x86,x64)、Windows 8(x86,x64)、Windows 8.1(x86,x64)、Windows 10(x86,x64)
支持的功能:
1、软件多开。提供了几种不同的多开方案。
1.1、系统仅仅负责处理。须要你手动打开须要被多开的软件。
2、进程隐藏和恢复(必须在被隐藏的进程退出之前恢复被隐藏的进程)
3、动态窗体标题和窗体类名的改动(动态窗体类名的改动眼下仅支持Windows
7、Windows 8、Windows 8.1的32位和64位的系统)
4、软件反反调试
4.1、本系统已经处理好了全局调试权限和DebugPort的处理
4.2、进程的反反调试部分类似于32位的StrongOD(内核模式),增加了硬件断点反检測。
4.3、增加了指定驱动的反调试xx功能
4.4、恢复与调试相关的进程钩子
4.5、默觉得安全的调试模式(Safe Debug Mode),64位系统不须要过pg,但反反调试强度不够强。
4.6、对于已进行PatchGuard的64位系统,能够使用非安全调试模式。或对于没过PG的64位系统在安装并执行调试引擎后20分钟内停止并卸载调试引擎也能够。
调试引擎用法(必须依照顺序进行):①加入列表信息。②先安装调试引擎,③后启动被调试程序,④被调试程序全然执行起来后,⑤启动调试引擎。每启动一次新的调试都须要反复步骤①到⑤。
5、保护指定的进程不被訪问
5.1、先启动要被保护的进程,再打开保护引擎。
假设要再打开一个保护进程,则须要先停止保护引擎。打开该进程后,再开启保护引擎。
6、禁止指定的进程被创建
7、启用和恢复Windows x64系统下的驱动签名强制
8、启用和恢复全局内核回调
是否免费:免费
使用说明:
1、软件在首次启动的时候会自己主动联网下载符号表。此后不须要反复该过程。
2、因为软件没数字签名,在启动的时候会被安全软件误报,请知悉。
能够在启动的时候临时关闭相关的安全软件,在启动起来后再打开相关的安全软件就可以,或者直接将本软件加入到白名单就可以。
3、本程序启动的时候会释放驱动文件到系统文件夹进行载入。在退出的时候会删除自己释放的驱动文件,这时相关的安全软件会误报,请知悉。
4、对于进程隐藏。不管是否进行了PatchGuard。在被隐藏的进程退出之前都必须恢复该进程。另外:在没过PatchGuard的时候。在隐藏进程的20分钟内(或者更短)必须恢复被隐藏的进程,否则会导致系统蓝屏。
5、在进行软件调试的时候,先执行好本软件和调试工具(如:OD),进行相关的初始化后。再打开被调试的软件。
提示:本软件在32位的系统下会启动1个进程。在64位的系统下会启动2个进程,一个为64位的主进程,还有一个为32位的辅助进程(用于恢复32位的进程钩子用)。
作者的系统:
以下是使用教程:
多开方案3的用法(以记事本为例):
多开方案4的用法(以记事本为例):
进程隐藏和恢复
窗体信息的类名动态改动眼下仅支持Win7、Win8、Win8.1,眼下仅改动窗体信息1个button有效。其他还没编写。
反反调试部分
设置选项
这是Safe
Debug Mode选中下的进程保护。进程句柄能够被打开,但无法对它进行读写调试等操作(x64不须要PatchGuard)
禁止指定的进程创建測试
该操作在64位系统下须要过pg(或在没过pg的情况下20分钟内操作)
PS:对于下载符号表失败的用户。通常是因为
msdia140.dll 这个控件注冊失败导致的。这时候须要你手动注冊一下该控件。如果你的解压文件夹在
E:AptitudeSystem 2.0 解压passwordabc ,
对于64位的系统:用管理员权限执行cmd。进入到x64文件夹。执行一下该命令:regsvr32
msdia140.dll
对于32位的系统:用管理员权限执行cmd,进入到x86文件夹,执行一下该命令:regsvr32
msdia140.dll
下载地址:
http://pan.baidu.com/s/1i581bnv
技术交流群:
群1:177822108
群2:177822398