首页
社区
课程
招聘
Medusa 更加激进的开源Windows ARK工具
2023-11-9 13:54 15362

Medusa 更加激进的开源Windows ARK工具

2023-11-9 13:54
15362

跟其他ARK不同之处在于添加了很多非常规手段扫描

同时也减少了一些不必要的功能 只要processhacker能满足要求的功能大多数情况就不会往里面添加

代码开源的同时最大程度上保持不依赖驱动 不依赖符号文件也能满足一定的工作要求

至少不会无法加载驱动就两眼一抹黑 什么也干不了

传统杀毒(AV)强度放目前来看我觉得很一般

所以直接从各大反作弊(AC)身上抄袭功能 例如断链进程断链线程检测 以及文件内存对比扫描 

又比如栈回潮检查和无模块地址检测以及基于内存的可疑驱动或模块扫描


同时添加了不少常用的功能 比如指定符号文件的下载查询 结构地址查询 内核内存反编译查看


拖拖拉拉整了好久 最近功能感觉差不多了 才打包release上传

自带一个泄露的吊销签名 没打安全补丁前的版本可以正常加载

目前已完成:


自身或其他驱动加载(内存加载驱动还没填)

虚拟化环境检测(只有应用层 内核部分还没写)

符号的下载以及查看 可以根据所选文件直接加载PDB 并且可以根据PDB直接显示函数内存地址 也可以查询结构体 详见github截图(相当于实现windbg u dt dq 等功能 自带一个github符号加速器 )

内核内存反编译 安全查询内存 拷贝后复制到应用层反编译 

进程部分:

进程列表扫描 驱动和应用层扫描结果会对比(加载驱动后会进行多轮不同方式查询进程列表 也包含了来自BE EAC等反作弊模式的暴力扫描断链进程)

DLL注入器 包含了R0R3多种注入方式 基于线程APC或者MAP方式(剩余一些注入方式慢慢添加)

HOOK扫描 文件内存代码段对比 可以快速扫描或扫描所有进程

进程模块扫描 驱动和应用层扫描结果会对比 同时提供了模块dump功能 可以dump模块内存 也可以dump内存后内存转文件

进程线程扫描 驱动和应用层扫描结果会对比

线程栈回潮 首轮用EAC的方式直接复制栈内存复制过来扫 如果扫不出来或者不成功就学BE processhacker插APC

隐藏进程

(还有一些功能没往里面加 量太大时间太少 例如基于内存扫描对象头来查询断链进程线程等等功能 目前只是个1.0最初的版本)


驱动部分:

驱动断链

清理驱动加载痕迹(主要是干掉unload PiDDB等等 后续可能添加内存加载驱动 同时给pool池信息干掉)

驱动内存dump 内存转文件dump(跟模块dump功能一样)

IOCTL扫描 显示分发函数所属模块 

已卸载或隐藏驱动扫描 从unload PiDDB等地方查询对比 自带一个pool池扫驱动 但是目前只是查询不分页池里有没有PE文件

callback扫描 只关注进程线程微过滤部分 其他的不关心 包含地址异常检测




驱动自带一个单元测试 跑过1809 21h1和h2 

还有很多东西没添加 从头写个ARK代码量不小 首要目的是开源可自行编译 目前先保证基础功能都有

后续任务就是填功能 保证稳定性的情况下添加更多激进的注入方式和扫描方式和隐藏清理等

最终目标是制作成开源 轻量化 免依赖 兼容稳定强 适用 并且手段足够激进的工具


备注:BUG或建议到github提交issuse

如果你想参与开发或者贡献代码 pull最新版本 本地修改完以后新分支push 然后提交pull request即可

不限制代码风格 但一定要求稳定兼容并且同时包含单元测试函数

https://github.com/DragonQuestHero/Medusa


1.0release:https://github.com/DragonQuestHero/Medusa/releases/download/v1.0/Release.7z



[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 14
打赏
分享
最新回复 (11)
雪    币: 2267
活跃值: (2208)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
LexSafe 2023-11-9 14:42
2
1
划重点 栈回潮
雪    币: 2284
活跃值: (387485)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
一笑人间万事 2023-11-9 15:05
3
0

最后于 2023-11-9 15:20 被一笑人间万事编辑 ,原因:
雪    币: 685
活跃值: (214212)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
shinratensei 1 2023-11-9 15:41
4
0
LexSafe 划重点 栈回潮
说不准用的五笔输入法
雪    币: 4580
活跃值: (623)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
nszy007 2023-11-9 16:53
5
0
运行后我点了下窗口最大化按钮,然而并没有什么卵用。
雪    币: 789
活跃值: (3376)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
dx苹果的心愿 1 2023-11-9 18:27
6
0
支持一下 
雪    币: 5107
活跃值: (4593)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
~时光荏苒 2023-11-9 19:32
7
0
支持一下
雪    币: 1191
活跃值: (1513)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
厌倦 2023-11-10 12:46
8
0
前排
雪    币: 2765
活跃值: (3076)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
院士 2023-11-12 09:51
9
0
来看看,似乎很强大。
雪    币: 20403
活跃值: (29965)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
秋狝 2023-11-12 22:54
10
1
感谢分享
雪    币: 35
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
编程两年半 2023-12-22 17:07
11
0
瞅瞅
雪    币: 231
活跃值: (2351)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
hambaga 2024-3-21 13:16
12
0
准备cv
游客
登录 | 注册 方可回帖
返回