[原创]AST源码发布 .Net/C#主打的ARK工具 (6/19 更新)-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]AST源码发布 .Net/C#主打的ARK工具 (6/19 更新)

发表于: 2014-5-8 21:13 16874

[原创]AST源码发布 .Net/C#主打的ARK工具 (6/19 更新)

wjshome

2014-5-8 21:13

16874

大家好，我在很久很久以前就在看雪注册了账号，可惜自己一直不从事内核/安全开发这一方面的工作，所以都没办法抽时间来深入了解内核编程。我今天开源这个半年前才有时间开始制作的小工具，中间断断续续写了一些，这也算是我学习过程中的一个产物，希望对大家有帮助。

工具其实也算不上ARK，归为此类吧。在写这个小工具的过程中，帮助主要来源于两个方面：GOOGLE + BOOKS。搜索过程中学习吸收了好多国内外开源代码的思路，将其吸收转为自己的实现就等于进步。我的分享我的快乐。

这个工具主要是用C#写的，驱动方面实现了一些基本功能比如读写内存，API调用等，但是大部分逻辑都是在Ring3实现的. 主要功能包括：

1. 符号的加载和搜索
2. 枚举系统回调
3. 枚举进程/线程/句柄表
4. PE格式文件加载
5. 对象浏览
6. NDIS钩子监控流量
7. 枚举驱动模块
8. 系统钩子，重载内核，替换SSDT函数
9. 键盘鼠标模拟

整个项目我放到Codeplex上了，附件也包含了SRC和BIN. 我会继续维护和添加新功能，大家有兴趣可以进QQ群：10925476和我一起学习探讨。

SRC和BIN：
Ast-0.1-src.zip
Ast-0.1-win8.1x86.zip

项目主页：
http://astsys.codeplex.com/

5/19 更新：
http://bbs.pediy.com/showthread.php?p=1285694#post1285694

获取最新SRC或者BIN请到项目主页，懒得放附件了。

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

Ast-0.1-src.zip （812.75kb，337次下载）
Ast-0.1-win8.1x86.zip （1.17MB，265次下载）
hook.jpg （71.36kb，123次下载）
module.jpg （76.35kb，40次下载）
ndis.jpg （84.22kb，40次下载）
object.jpg （84.48kb，35次下载）
pe.jpg （83.96kb，29次下载）
process.jpg （72.31kb，22次下载）
routine.jpg （66.33kb，24次下载）
symbol.jpg （58.47kb，40次下载）

收藏・45

免费・4

支持

最新回复 (41) 1 2 ▶
JoySauce 雪币： 341 活跃值： (85) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 185 粉丝 0 关注私信	JoySauce 1 2 楼 mark下 2014-5-8 21:15 0
coffeemlx 雪币： 218 活跃值： (62) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 65 粉丝 0 关注私信	coffeemlx 3 楼前排强势插入！ 2014-5-8 21:16 0
dnybz 雪币： 66 活跃值： (950) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 4 楼不错，mark. 2014-5-8 21:16 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 5 楼来支持一下 2014-5-8 21:18 0
DuoLaMMeng 雪币： 406 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 58 粉丝 0 关注私信	DuoLaMMeng 6 楼支持一下 2014-5-8 21:22 0
wmg 雪币： 69 活跃值： (242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 60 粉丝 0 关注私信	wmg 7 楼用C#来写，感觉很新颖嘛 2014-5-8 21:23 0
white、、雪币： 60 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 387 粉丝 0 关注私信	white、、 8 楼同 7#，赞 2014-5-8 21:34 0
albeta 雪币： 202 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 173 粉丝 0 关注私信	albeta 9 楼看楼主天天在群里贴图，今天终于发出来了，赞一个。 2014-5-8 21:37 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 10 楼这个开源站点好强大~ 楼主好人~ 2014-5-8 22:06 0
猫子雪币： 440 活跃值： (1153) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 343 粉丝 1 关注私信	猫子 11 楼支持楼主，，， 2014-5-8 23:12 0
qqlinhai 雪币： 114 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 288 粉丝 0 关注私信	qqlinhai 12 楼很不错，支持楼主。 2014-5-9 00:20 0
xJJuno 雪币： 13203 活跃值： (4266) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 13 楼开源得精最适合卖广告位了 2014-5-9 00:27 0
xiaoabing 雪币： 10 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 150 粉丝 0 关注私信	xiaoabing 14 楼 C#写ARK 有想法 2014-5-9 00:38 0
butian 雪币： 122 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 168 粉丝 0 关注私信	butian 15 楼支持楼主… 2014-5-9 00:41 0
smnk 雪币： 158 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 97 粉丝 0 关注私信	smnk 16 楼开源得精 2014-5-9 01:10 0
neite 雪币： 1626 活跃值： (148) 能力值： ( LV4，RANK：40 ) 在线值：发帖 17 回帖 105 粉丝 0 关注私信	neite 17 楼 Nice. Thanks 2014-5-9 06:12 0
wjshome 雪币： 241 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	wjshome 1 18 楼自从发了源码后，感觉自己一下子变懒了。想添加一些新的功能，大家建议下吧。或许HIVE解释？ 2014-5-9 12:55 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 19 楼 C#写ARK有想法... 感谢开源... 2014-5-9 12:59 0
wjshome 雪币： 241 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	wjshome 1 20 楼 Ring0还是C的，只是Ring3都是.Net写的啦。用C#的原因只是我对他比较熟悉。我的设计上是尽量把复杂的逻辑搬到Ring3上面，所以我在驱动层面上实现了一些基本的内存读写和调用函数功能，然后Ring3用IoControl包装好这些基本功能来实现具体的复杂的逻辑。这样就方便我调试，输出Log和代码组织。 2014-5-9 13:11 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 21 楼恩,这样设计挺好的... 2014-5-9 13:15 0
韩梦雅雪币： 1933 活跃值： (113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 103 粉丝 1 关注私信	韩梦雅 22 楼多谢楼主分享，继续加油！！！ 2014-5-9 14:13 0
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 44 关注私信	ddlx 5 23 楼支持楼主的分享精神 2014-5-9 15:28 0
lionxyes 雪币： 890 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 69 粉丝 0 关注私信	lionxyes 2 24 楼我再到这里支持一下：） 2014-5-9 16:07 0
AimPerf 雪币： 120 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	AimPerf 25 楼咦，居然还没精华，mark一下 2014-5-10 09:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wjshome

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (41) 1 2 ▶
JoySauce 雪币： 341 活跃值： (85) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 185 粉丝 0 关注私信	JoySauce 1 2 楼 mark下 2014-5-8 21:15 0
coffeemlx 雪币： 218 活跃值： (62) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 65 粉丝 0 关注私信	coffeemlx 3 楼前排强势插入！ 2014-5-8 21:16 0
dnybz 雪币： 66 活跃值： (950) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 4 楼不错，mark. 2014-5-8 21:16 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 5 楼来支持一下 2014-5-8 21:18 0
DuoLaMMeng 雪币： 406 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 58 粉丝 0 关注私信	DuoLaMMeng 6 楼支持一下 2014-5-8 21:22 0
wmg 雪币： 69 活跃值： (242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 60 粉丝 0 关注私信	wmg 7 楼用C#来写，感觉很新颖嘛 2014-5-8 21:23 0
white、、雪币： 60 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 387 粉丝 0 关注私信	white、、 8 楼同 7#，赞 2014-5-8 21:34 0
albeta 雪币： 202 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 173 粉丝 0 关注私信	albeta 9 楼看楼主天天在群里贴图，今天终于发出来了，赞一个。 2014-5-8 21:37 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 10 楼这个开源站点好强大~ 楼主好人~ 2014-5-8 22:06 0
猫子雪币： 440 活跃值： (1153) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 343 粉丝 1 关注私信	猫子 11 楼支持楼主，，， 2014-5-8 23:12 0
qqlinhai 雪币： 114 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 288 粉丝 0 关注私信	qqlinhai 12 楼很不错，支持楼主。 2014-5-9 00:20 0
xJJuno 雪币： 13203 活跃值： (4266) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 13 楼开源得精最适合卖广告位了 2014-5-9 00:27 0
xiaoabing 雪币： 10 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 150 粉丝 0 关注私信	xiaoabing 14 楼 C#写ARK 有想法 2014-5-9 00:38 0
butian 雪币： 122 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 168 粉丝 0 关注私信	butian 15 楼支持楼主… 2014-5-9 00:41 0
smnk 雪币： 158 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 97 粉丝 0 关注私信	smnk 16 楼开源得精 2014-5-9 01:10 0
neite 雪币： 1626 活跃值： (148) 能力值： ( LV4，RANK：40 ) 在线值：发帖 17 回帖 105 粉丝 0 关注私信	neite 17 楼 Nice. Thanks 2014-5-9 06:12 0
wjshome 雪币： 241 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	wjshome 1 18 楼自从发了源码后，感觉自己一下子变懒了。想添加一些新的功能，大家建议下吧。或许HIVE解释？ 2014-5-9 12:55 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 19 楼 C#写ARK有想法... 感谢开源... 2014-5-9 12:59 0
wjshome 雪币： 241 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	wjshome 1 20 楼 Ring0还是C的，只是Ring3都是.Net写的啦。用C#的原因只是我对他比较熟悉。我的设计上是尽量把复杂的逻辑搬到Ring3上面，所以我在驱动层面上实现了一些基本的内存读写和调用函数功能，然后Ring3用IoControl包装好这些基本功能来实现具体的复杂的逻辑。这样就方便我调试，输出Log和代码组织。 2014-5-9 13:11 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 21 楼恩,这样设计挺好的... 2014-5-9 13:15 0
韩梦雅雪币： 1933 活跃值： (113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 103 粉丝 1 关注私信	韩梦雅 22 楼多谢楼主分享，继续加油！！！ 2014-5-9 14:13 0
ddlx 雪币： 541 活跃值： (654) 能力值： ( LV12，RANK：250 ) 在线值：发帖 13 回帖 245 粉丝 44 关注私信	ddlx 5 23 楼支持楼主的分享精神 2014-5-9 15:28 0
lionxyes 雪币： 890 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 69 粉丝 0 关注私信	lionxyes 2 24 楼我再到这里支持一下：） 2014-5-9 16:07 0
AimPerf 雪币： 120 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	AimPerf 25 楼咦，居然还没精华，mark一下 2014-5-10 09:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复