[原创]打造自己的ARK工具（公开源代码）-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]打造自己的ARK工具（公开源代码）

发表于: 2010-8-3 15:20 95177

[原创]打造自己的ARK工具（公开源代码）

dragonltx

2010-8-3 15:20

95177

作品是参加2010年全国大学生信息安全竞赛的作品，今天上竞赛的网站看下，发现决赛名单出来了，没能进入决赛，因此将本作品分享出来，附件里包括参加竞赛的作品报告和源程序、源代码，有些代码参考了一些大牛的代码和思路，在此表示感谢！
  作品主要实现了以下七个模块：
  1、息钩子监视：列举系统上的消息钩子。
  2、块加载监视：列举系统上加载的所有内核模块
  3、SSDT监视：通过得到原始的SSDT地址来得到被恶意程序HOOK的API以及恢复SSDT
4、注册表保护：对一些重要的注册表项进行保护，防止恶意程序对其进行修改。
  5、隐藏进程检测：检测出系统中隐藏的进程。
  6、隐藏端口检测：检测出系统中隐藏的端口。
  7、进程强杀：能够杀死系统中的对自身保护的恶意进程。
  具体的实现在作品报告里，由于本人实力有限，可能质量不高，望大牛指教！

一、消息钩子监视

二、内核模块监视

三、SSDT监视

四、注册表保护

五、隐藏端口检测

六、隐藏进程检测

七、进程强杀
本软件能够结束360杀毒软件、360卫士、瑞星、IceSword、XueTr等

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

Sysmon作品.part01.rar （0.98MB，1854次下载）
Sysmon作品.part02.rar （0.98MB，2093次下载）
Sysmon作品.part03.rar （0.98MB，4459次下载）
Sysmon作品.part04.rar （0.98MB，3035次下载）
Sysmon作品.part05.rar （736.37kb，1829次下载）
消息钩子.png （159.47kb，4144次下载）
内核模块.png （173.88kb，4122次下载）
SSDT.png （172.70kb，4093次下载）
注册表.png （11.38kb，4050次下载）
隐藏端口.png （81.40kb，4058次下载）
隐藏进程.png （69.25kb，4033次下载）

收藏・101

免费・9

支持

最新回复 (111) 1 2 3 4 5 ▶
gaollxu 雪币： 1085 活跃值： (114) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 273 粉丝 1 关注私信	gaollxu 2 2 楼支持一下。喜欢这个东西。 2010-8-3 15:40 0
cyberbill 雪币： 83 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 50 粉丝 0 关注私信	cyberbill 3 楼有源码，有真相，顶！ 2010-8-3 15:53 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 4 楼什么语言写的? 2010-8-3 15:59 0
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 5 楼 SDK加WDK 2010-8-3 16:06 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 6 楼一运行就蓝了郁闷正在FB呢 2010-8-3 16:49 0
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 7 楼 good resource. 2010-8-3 16:53 0
鹿剑雪币： 284 活跃值： (106) 能力值： ( LV9，RANK：160 ) 在线值：发帖 24 回帖 187 粉丝 1 关注私信	鹿剑 3 8 楼不错，拿去比赛功能就少了，不够特色…… 2010-8-3 17:04 0
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 9 楼注意：本软件只支持xp，最近在学脱壳，没时间兼容vista和win7 2010-8-3 17:04 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 10 楼拿去参赛名字取霸气点嘛基于CPU指令的系统内核级全方位监控防测漏反rootkit工具 2010-8-3 17:14 0
xiilin 雪币： 401 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 792 粉丝 0 关注私信	xiilin 11 楼单凭防侧漏三字，就足够霸道了，LS给取的名字我喜欢。 ps.36x报毒。 2010-8-3 17:19 0
seere 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 26 粉丝 0 关注私信	seere 12 楼多谢楼主分享，好东西！ 2010-8-3 17:31 0
小菜菜鸟雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	小菜菜鸟 13 楼有源码，有真相，顶！ 2010-8-3 18:00 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 14 楼其实个人感觉功能的多少并不很重要关键的是有没有创新和自己的特色这些东西网上已经泛滥了一味的照搬又怎可能取得名次除非那些评委都不知道搜索引擎为何物... 补充一下小弟用的是AMD双核 XP SP2系统并不是W7 或VISTA 但一运行还是直接蓝了 2010-8-3 18:51 0
xiilin 雪币： 401 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 792 粉丝 0 关注私信	xiilin 15 楼哈哈，我也蓝了，WinXP SP3+Avast5+360安全卫士，驱动被360报木马，但程序运行没问题。 WinXP SP3全补丁纯净系统反倒蓝了，无语。 2010-8-3 19:07 0
wrbcn 雪币： 287 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 9 粉丝 0 关注私信	wrbcn 1 16 楼跟楼主一样悲剧了。不过我交的是沙盘，哈哈。 2010-8-3 20:35 0
pyq逍遥雪币： 306 活跃值： (153) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 200 粉丝 5 关注私信	pyq逍遥 1 17 楼顶下，支持开源 2010-8-3 21:08 0
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 18 楼多谢批评！由于本人刚学内核编程不久，所以就通过自己的努力开发这么一个软件，实力有限，实在是想不出什么创新的地方！而且我又对这方面感兴趣！所以就做这个了！从中学到很多东西！ 2010-8-3 21:34 0
锾の怒雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	锾の怒 19 楼支持有码，VM+winXP SP2不蓝 2010-8-4 00:58 0
我要学雪币： 12049 活跃值： (3379) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 0 关注私信	我要学 20 楼有代码可以学习好好好 2010-8-4 08:43 0
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 21 楼哦，呵呵，之前没经验，以为有点工程量的就应该能进，发现我错了，创新才是最主要的，即使你做的不是很深，但是又创新就能进决赛！大三了，快大四了，有点遗憾，不知道还有没有机会再参加一次，拿出自己真正有创新性的东西！ 2010-8-4 08:53 0
sglmy 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	sglmy 22 楼感谢有码，好好学习 2010-8-4 09:20 0
flyliying 雪币： 111 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 75 粉丝 0 关注私信	flyliying 23 楼厉害啊，加油 2010-8-4 10:46 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 24 楼我过了初赛过初赛靠题目靠文档靠创新点靠应用。。 2010-8-4 10:59 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 25 楼楼主的题目太俗创新及应用性加分不多，等决赛完了，放出我的初赛文档决赛PPT 2010-8-4 11:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

dragonltx

发帖

240

回帖

310

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (111) 1 2 3 4 5 ▶
gaollxu 雪币： 1085 活跃值： (114) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 273 粉丝 1 关注私信	gaollxu 2 2 楼支持一下。喜欢这个东西。 2010-8-3 15:40 0
cyberbill 雪币： 83 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 50 粉丝 0 关注私信	cyberbill 3 楼有源码，有真相，顶！ 2010-8-3 15:53 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 4 楼什么语言写的? 2010-8-3 15:59 0
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 5 楼 SDK加WDK 2010-8-3 16:06 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 6 楼一运行就蓝了郁闷正在FB呢 2010-8-3 16:49 0
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 7 楼 good resource. 2010-8-3 16:53 0
鹿剑雪币： 284 活跃值： (106) 能力值： ( LV9，RANK：160 ) 在线值：发帖 24 回帖 187 粉丝 1 关注私信	鹿剑 3 8 楼不错，拿去比赛功能就少了，不够特色…… 2010-8-3 17:04 0
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 9 楼注意：本软件只支持xp，最近在学脱壳，没时间兼容vista和win7 2010-8-3 17:04 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 10 楼拿去参赛名字取霸气点嘛基于CPU指令的系统内核级全方位监控防测漏反rootkit工具 2010-8-3 17:14 0
xiilin 雪币： 401 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 792 粉丝 0 关注私信	xiilin 11 楼单凭防侧漏三字，就足够霸道了，LS给取的名字我喜欢。 ps.36x报毒。 2010-8-3 17:19 0
seere 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 26 粉丝 0 关注私信	seere 12 楼多谢楼主分享，好东西！ 2010-8-3 17:31 0
小菜菜鸟雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	小菜菜鸟 13 楼有源码，有真相，顶！ 2010-8-3 18:00 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 14 楼其实个人感觉功能的多少并不很重要关键的是有没有创新和自己的特色这些东西网上已经泛滥了一味的照搬又怎可能取得名次除非那些评委都不知道搜索引擎为何物... 补充一下小弟用的是AMD双核 XP SP2系统并不是W7 或VISTA 但一运行还是直接蓝了 2010-8-3 18:51 0
xiilin 雪币： 401 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 792 粉丝 0 关注私信	xiilin 15 楼哈哈，我也蓝了，WinXP SP3+Avast5+360安全卫士，驱动被360报木马，但程序运行没问题。 WinXP SP3全补丁纯净系统反倒蓝了，无语。 2010-8-3 19:07 0
wrbcn 雪币： 287 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 9 粉丝 0 关注私信	wrbcn 1 16 楼跟楼主一样悲剧了。不过我交的是沙盘，哈哈。 2010-8-3 20:35 0
pyq逍遥雪币： 306 活跃值： (153) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 200 粉丝 5 关注私信	pyq逍遥 1 17 楼顶下，支持开源 2010-8-3 21:08 0
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 18 楼多谢批评！由于本人刚学内核编程不久，所以就通过自己的努力开发这么一个软件，实力有限，实在是想不出什么创新的地方！而且我又对这方面感兴趣！所以就做这个了！从中学到很多东西！ 2010-8-3 21:34 0
锾の怒雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	锾の怒 19 楼支持有码，VM+winXP SP2不蓝 2010-8-4 00:58 0
我要学雪币： 12049 活跃值： (3379) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 0 关注私信	我要学 20 楼有代码可以学习好好好 2010-8-4 08:43 0
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 21 楼哦，呵呵，之前没经验，以为有点工程量的就应该能进，发现我错了，创新才是最主要的，即使你做的不是很深，但是又创新就能进决赛！大三了，快大四了，有点遗憾，不知道还有没有机会再参加一次，拿出自己真正有创新性的东西！ 2010-8-4 08:53 0
sglmy 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	sglmy 22 楼感谢有码，好好学习 2010-8-4 09:20 0
flyliying 雪币： 111 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 75 粉丝 0 关注私信	flyliying 23 楼厉害啊，加油 2010-8-4 10:46 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 24 楼我过了初赛过初赛靠题目靠文档靠创新点靠应用。。 2010-8-4 10:59 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 25 楼楼主的题目太俗创新及应用性加分不多，等决赛完了，放出我的初赛文档决赛PPT 2010-8-4 11:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复