跟其他ARK不同之处在于添加了很多非常规手段扫描

同时也减少了一些不必要的功能 只要processhacker能满足要求的功能大多数情况就不会往里面添加

代码开源的同时最大程度上保持不依赖驱动 不依赖符号文件也能满足一定的工作要求

至少不会无法加载驱动就两眼一抹黑 什么也干不了

传统杀毒(AV)强度放目前来看我觉得很一般

所以直接从各大反作弊(AC)身上抄袭功能 例如断链进程断链线程检测 以及文件内存对比扫描 

又比如栈回潮检查和无模块地址检测以及基于内存的可疑驱动或模块扫描

同时添加了不少常用的功能 比如指定符号文件的下载查询 结构地址查询 内核内存反编译查看

拖拖拉拉整了好久 最近功能感觉差不多了 才打包release上传

自带一个泄露的吊销签名 没打安全补丁前的版本可以正常加载

目前已完成:

自身或其他驱动加载(内存加载驱动还没填)

虚拟化环境检测(只有应用层 内核部分还没写)

符号的下载以及查看 可以根据所选文件直接加载PDB 并且可以根据PDB直接显示函数内存地址 也可以查询结构体 详见github截图(相当于实现windbg u dt dq 等功能 自带一个github符号加速器 )

内核内存反编译 安全查询内存 拷贝后复制到应用层反编译 

进程部分:

进程列表扫描 驱动和应用层扫描结果会对比(加载驱动后会进行多轮不同方式查询进程列表 也包含了来自BE EAC等反作弊模式的暴力扫描断链进程)

DLL注入器 包含了R0R3多种注入方式 基于线程APC或者MAP方式(剩余一些注入方式慢慢添加)

HOOK扫描 文件内存代码段对比 可以快速扫描或扫描所有进程

进程模块扫描 驱动和应用层扫描结果会对比 同时提供了模块dump功能 可以dump模块内存 也可以dump内存后内存转文件

进程线程扫描 驱动和应用层扫描结果会对比

线程栈回潮 首轮用EAC的方式直接复制栈内存复制过来扫 如果扫不出来或者不成功就学BE processhacker插APC

隐藏进程

(还有一些功能没往里面加 量太大时间太少 例如基于内存扫描对象头来查询断链进程线程等等功能 目前只是个1.0最初的版本)

驱动部分:

驱动断链

清理驱动加载痕迹(主要是干掉unload PiDDB等等 后续可能添加内存加载驱动 同时给pool池信息干掉)

驱动内存dump 内存转文件dump(跟模块dump功能一样)

IOCTL扫描 显示分发函数所属模块 

已卸载或隐藏驱动扫描 从unload PiDDB等地方查询对比 自带一个pool池扫驱动 但是目前只是查询不分页池里有没有PE文件

callback扫描 只关注进程线程微过滤部分 其他的不关心 包含地址异常检测

驱动自带一个单元测试 跑过1809 21h1和h2 

还有很多东西没添加 从头写个ARK代码量不小 首要目的是开源可自行编译 目前先保证基础功能都有

后续任务就是填功能 保证稳定性的情况下添加更多激进的注入方式和扫描方式和隐藏清理等

最终目标是制作成开源 轻量化 免依赖 兼容稳定强 适用 并且手段足够激进的工具

备注:BUG或建议到github提交issuse

如果你想参与开发或者贡献代码 pull最新版本 本地修改完以后新分支push 然后提交pull request即可

不限制代码风格 但一定要求稳定兼容并且同时包含单元测试函数

https://github.com/DragonQuestHero/Medusa

1.0release:https://github.com/DragonQuestHero/Medusa/releases/download/v1.0/Release.7z

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课