[原创]HSQARKH 完整源码-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]HSQARKH 完整源码

发表于: 2008-5-14 22:23 12284

[原创]HSQARKH 完整源码

HSQ

2008-5-14 22:23

12284

HSQARKH 完整源码
这只是一个初步代码,用来实现ARK,做隐藏方面研究的.
本来打算等自己把所有自己知道的都尽量用上,再找时机发布,无奈最近平凡被各位大牛打击,实在在信心几近丧失殆尽. 暂时不想再搞这了,贻笑大方也罢,索性也把整个小工程源码给发出来, 也好让各位牛人说说我是否有再继续搞内核ROOTKIT研究的必要,是否够入门资格,代码风格是否规范(在现实世界里我从未接触过真正写程序的,我的身边都是搞医学的,真正的IT世界我丝毫不知,请勿见笑).

关于这个HSQInLineAPI.h里面的几个函数我时花了不少时间调试写出来的,如果有人不幸引用了鄙人的简陋代码,还望注明出处.

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

4.01.rar （67.10kb，207次下载）

收藏・10

免费・7

支持

赞赏记录

参与人

雪币

留言

时间

Youlor

为你点赞~

2024-1-3 03:32

伟叔叔

为你点赞~

2023-10-27 00:05

QinBeast

为你点赞~

2023-8-2 00:45

PLEBFE

为你点赞~

2023-8-1 00:25

shinratensei

为你点赞~

2023-7-9 00:00

心游尘世外

为你点赞~

2023-6-30 00:31

飘零丶

为你点赞~

2023-6-20 00:51

最新回复 (14)
Bughoho 雪币： 1946 活跃值： (283) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 2 楼 LZ很强大，我也来学习一下 2008-5-14 23:24 0
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 3 楼老兄是一打击就会出好东西，哈。哈。正需要这部分资料， 2008-5-15 01:34 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 26 关注私信	笨笨雄 14 4 楼即使不规范..这么多注释..比那些只有规范没有注释的代码好了... 我是进来学习的.. 2008-5-15 01:47 0
HSQ 雪币： 388 活跃值： (235) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 5 楼江湖险恶，卧虎藏龙，初出茅庐，处处挨刀，卧薪尝胆，终究辉煌。 2008-5-15 10:28 0
shellkit 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	shellkit 6 楼学医好啊，找个学医的mm就不愁身体出问题了 2008-5-15 10:54 0
HSQ 雪币： 388 活跃值： (235) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 7 楼看来我得考虑坚持自己的医学，把IT的当作爱好，不去找IT工作，就在医院混得了 2008-5-15 11:32 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 8 楼不错不过跳转/调用指令处理部分有点瑕疵，在不少情况下可能会处理不了另外，隐约记得LDE已经被不少杀毒软件列入黑名单了，如果实际用的话，还是换个好点额，汇编代码还是在IDA里看着方便。 2008-5-15 12:02 0
HSQ 雪币： 388 活跃值： (235) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 9 楼 1.对于“不过跳转/调用指令处理部分有点瑕疵”，这是存在的，因为CheckFixHookedBaseAddress（）是我临时加的，本来打算他是在其他函数内面。考虑到代码的重用性及模块化，我就将他抽出来单独编写。一边针对在实际应用过程中的错误，或具体情况进行增加和修补。 2.对于“隐约记得LDE已经被不少杀毒软件列入黑名单了”，这个我没太在意。主要是我机子太乱，装个查毒软件没法干事，所以机子里没有任何杀毒软件，于是我没注意到这事。其实，对于这种事情，我个人认为，完全没有必要迁就杀软。由于LDE是在运行时调用，通过变形或加密处理后在使用，估计应该能够躲过检查。 3.“汇编代码还是在IDA里看着方便”，对于这里两个核心函数，没有源码你用IDA试试看。我自己那IDA看了一下，F5是没用的，只是标号，应该看得很难受的。因为它们会在多个时空里执行，要不是我自己写的，看的都有些晕。。。 2008-5-15 18:08 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 10 楼很好，很强大 2008-5-15 18:10 0
davisneilp 雪币： 215 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 90 粉丝 0 关注私信	davisneilp 11 楼佩服, 我等汗颜..... 2008-5-15 20:41 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 12 楼不晓得哦，一直都是用IDA分析东西，蛮习惯，标号可以自己起。F5这种东西，基本不用。 2008-5-15 21:50 0
pentacleNC 雪币： 279 活跃值： (180) 能力值： ( LV9，RANK：170 ) 在线值：发帖 13 回帖 144 粉丝 0 关注私信	pentacleNC 4 13 楼回贴收藏。。。谢谢。。 2008-5-15 23:50 0
smial 雪币： 204 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	smial 14 楼楼主牛人。。。我等确实汗颜啊。。。。 2008-5-16 01:47 0
jk影雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 54 粉丝 0 关注私信	jk影 15 楼看到牛人了我等太菜基本不懂啊 2009-1-7 17:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

HSQ

发帖

332

回帖

330

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
Bughoho 雪币： 1946 活跃值： (283) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 2 楼 LZ很强大，我也来学习一下 2008-5-14 23:24 0
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 3 楼老兄是一打击就会出好东西，哈。哈。正需要这部分资料， 2008-5-15 01:34 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 26 关注私信	笨笨雄 14 4 楼即使不规范..这么多注释..比那些只有规范没有注释的代码好了... 我是进来学习的.. 2008-5-15 01:47 0
HSQ 雪币： 388 活跃值： (235) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 5 楼江湖险恶，卧虎藏龙，初出茅庐，处处挨刀，卧薪尝胆，终究辉煌。 2008-5-15 10:28 0
shellkit 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	shellkit 6 楼学医好啊，找个学医的mm就不愁身体出问题了 2008-5-15 10:54 0
HSQ 雪币： 388 活跃值： (235) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 7 楼看来我得考虑坚持自己的医学，把IT的当作爱好，不去找IT工作，就在医院混得了 2008-5-15 11:32 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 8 楼不错不过跳转/调用指令处理部分有点瑕疵，在不少情况下可能会处理不了另外，隐约记得LDE已经被不少杀毒软件列入黑名单了，如果实际用的话，还是换个好点额，汇编代码还是在IDA里看着方便。 2008-5-15 12:02 0
HSQ 雪币： 388 活跃值： (235) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 9 楼 1.对于“不过跳转/调用指令处理部分有点瑕疵”，这是存在的，因为CheckFixHookedBaseAddress（）是我临时加的，本来打算他是在其他函数内面。考虑到代码的重用性及模块化，我就将他抽出来单独编写。一边针对在实际应用过程中的错误，或具体情况进行增加和修补。 2.对于“隐约记得LDE已经被不少杀毒软件列入黑名单了”，这个我没太在意。主要是我机子太乱，装个查毒软件没法干事，所以机子里没有任何杀毒软件，于是我没注意到这事。其实，对于这种事情，我个人认为，完全没有必要迁就杀软。由于LDE是在运行时调用，通过变形或加密处理后在使用，估计应该能够躲过检查。 3.“汇编代码还是在IDA里看着方便”，对于这里两个核心函数，没有源码你用IDA试试看。我自己那IDA看了一下，F5是没用的，只是标号，应该看得很难受的。因为它们会在多个时空里执行，要不是我自己写的，看的都有些晕。。。 2008-5-15 18:08 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 10 楼很好，很强大 2008-5-15 18:10 0
davisneilp 雪币： 215 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 90 粉丝 0 关注私信	davisneilp 11 楼佩服, 我等汗颜..... 2008-5-15 20:41 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 12 楼不晓得哦，一直都是用IDA分析东西，蛮习惯，标号可以自己起。F5这种东西，基本不用。 2008-5-15 21:50 0
pentacleNC 雪币： 279 活跃值： (180) 能力值： ( LV9，RANK：170 ) 在线值：发帖 13 回帖 144 粉丝 0 关注私信	pentacleNC 4 13 楼回贴收藏。。。谢谢。。 2008-5-15 23:50 0
smial 雪币： 204 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	smial 14 楼楼主牛人。。。我等确实汗颜啊。。。。 2008-5-16 01:47 0
jk影雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 54 粉丝 0 关注私信	jk影 15 楼看到牛人了我等太菜基本不懂啊 2009-1-7 17:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]HSQARKH 完整源码

账号登录 验证码登录

账号登录

验证码登录