跟其他ARK不同之处在于添加了很多非常规手段扫描

同时也减少了一些不必要的功能 只要processhacker能满足要求的功能大多数情况就不会往里面添加

代码开源的同时最大程度上保持不依赖驱动 不依赖符号文件也能满足一定的工作要求

至少不会无法加载驱动就两眼一抹黑 什么也干不了

传统杀毒(AV)强度放目前来看我觉得很一般

所以直接从各大反作弊(AC)身上抄袭功能 例如断链进程断链线程检测 以及文件内存对比扫描 

又比如栈回潮检查和无模块地址检测以及基于内存的可疑驱动或模块扫描

同时添加了不少常用的功能 比如指定符号文件的下载查询 结构地址查询 内核内存反编译查看

拖拖拉拉整了好久 最近功能感觉差不多了 才打包release上传

自带一个泄露的吊销签名 没打安全补丁前的版本可以正常加载

目前已完成:

自身或其他驱动加载(内存加载驱动还没填)

虚拟化环境检测(只有应用层 内核部分还没写)

符号的下载以及查看 可以根据所选文件直接加载PDB 并且可以根据PDB直接显示函数内存地址 也可以查询结构体 详见github截图(相当于实现windbg u dt dq 等功能 自带一个github符号加速器 )

内核内存反编译 安全查询内存 拷贝后复制到应用层反编译 

进程部分:

进程列表扫描 驱动和应用层扫描结果会对比(加载驱动后会进行多轮不同方式查询进程列表 也包含了来自BE EAC等反作弊模式的暴力扫描断链进程)

DLL注入器 包含了R0R3多种注入方式 基于线程APC或者MAP方式(剩余一些注入方式慢慢添加)

HOOK扫描 文件内存代码段对比 可以快速扫描或扫描所有进程

进程模块扫描 驱动和应用层扫描结果会对比 同时提供了模块dump功能 可以dump模块内存 也可以dump内存后内存转文件

进程线程扫描 驱动和应用层扫描结果会对比

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课