<progress id="yueoz"><code id="yueoz"><xmp id="yueoz">

      1. 吾愛破解 - LCG - LSG |安卓破解|病毒分析|www.13ee.cn

         找回密碼
         注冊[Register]

        QQ登錄

        只需一步,快速開始

        搜索
        查看: 2851|回復: 28
        上一主題 下一主題

        [原創源碼] 日常造輪子學習之ArkTool

        [復制鏈接]
        跳轉到指定樓層
        樓主
        自己的小白 發表于 2020-6-21 11:11 回帖獎勵
        本帖最后由 自己的小白 于 2020-6-23 11:57 編輯

        README

        前言

        仿PCHunter32做的一個簡易ARK,練手之作,以此記錄。如有錯誤,不吝賜教。

        界面

        功能介紹

        驅動信息

        遍歷/刷新驅動

        在內核層通過驅動鏈(只使用了按加載順序構成的鏈表,還可以使用按內存順序構成或按初始化順序構成的鏈表)遍歷所有驅動的信息

        隱藏驅動

        通過對比驅動名,將要隱藏的驅動從驅動鏈(按加載順序構成的鏈表)上摘除。原本它鄰接的節點驅動被卸載時,系統會把此節點的Flink,Blink域指向它相鄰節點的下一個節點,但是,它此時已經脫離鏈表了,如果現在它原本相鄰的節點驅動,被卸載了,那么此節點的Flink,Blink域將有可能指向無用的地址而造成隨機性的BSoD。為了防止隨機性的BSOD(藍屏死機),將要隱藏的驅動LIST_ENTRY結構體的Flink,Blink域指向自己

        進程信息

        遍歷/刷新進程

        在內核層通過EPROCESS進程執行體塊獲取進程活動鏈表,遍歷進程活動鏈表獲取所有EPROCESS進程執行體塊,從而獲取所有進程的信息

        隱藏進程

        同隱藏驅動差不多,將要隱藏的進程在進程活動鏈表摘除,就不多說了

        結束進程

        將要結束的進程的ID傳輸到內核層,使用ZwOpenProcess打開進程,獲取進程句柄,然后使用ZwTerminateProcess結束進程

        查看模塊

        彈出一個對話框,并遍歷選中進程的所有模塊信息。通過進程執行體塊EPROCESS找到PEB,再使用進程掛靠附加到目標進程中,通過PEB獲取模塊鏈表,遍歷模塊鏈表獲取所有模塊信息

        查看線程

        彈出一個對話框,并遍歷選中進程的所有線程信息。通過進程執行體塊EPROCESS獲取進程的線程鏈表,通過遍歷線程鏈表獲取所有的線程執行體塊ETHREAD,從而獲取該進程的所有線程信息

        文件信息

        遍歷文件

        通過ZwQueryDirectoryFile函數實現內核版FindFirstFile、FindNextFile函數,然后同用戶層遍歷文件一樣使用這兩個內核版函數遍歷文件

        注意:內核中操作文件需要在文件名加前綴 \\??\\

        刪除文件

        使用 ZwDeleteFile 刪除文件

        注冊表信息

        遍歷注冊表

        通過ZwOpenKey打開注冊表鍵(根鍵為\\Registry),獲取注冊表鍵句柄

        通過ZwQueryKey獲取一個注冊表項有多少子項和子鍵

        通過ZwEnumerateKey獲取指定子項的信息

        通過ZwEnumerateValueKey獲取指定子鍵的信息

        最后通過ZwClose關閉注冊表鍵句柄

        創建子項

        使用InitializeObjectAttributes宏初始化對象屬性,它主要初始化注冊表鍵徑

        然后通過ZwCreateKey創建

        刪除子項

        使用InitializeObjectAttributes宏初始化對象屬性,它主要初始化注冊表鍵徑

        然后通過ZwOpenKey打開注冊表鍵,獲取注冊表句柄

        使用ZwDeleteKey刪除注冊表鍵

        最后通過ZwClose關閉注冊表鍵句柄

        IDT(中斷描述符表)

        遍歷/刷新IDT

        IDT表存放于IDTR寄存器,可以使用匯編指令 __asm sidt sidtInfo;來獲取IDTR寄存器的值,從而獲取IDT表的首地址

        GDT(全局描述符表)

        遍歷/刷新GDT

        GDT表存放于GDTR寄存器,可以使用匯編指令 __asm sgdt sgdtInfo;來獲取GDT表首地址和GDT表項數

        SSDT(系統符號調度表)

        遍歷/刷新SSDT

        WIN7 - x32下系統導出系統描述符表 KeServiceDescriptorTable 變量。聲明后,就可以直接使用。通過這個變量可以獲取到SSDT的首地址,參數個數表的首地址、服務函數的個數以及SSDT中每個服務被調用的次數

        SYSENTER-HOOK

        通過修改SYSENTER_EIP_MSR(編號0x176)寄存器使其指向我們自己的函數,就可以在自己的函數中對所有來自Ring3層的調用進行第一手過濾。

        過程:

        • ​        讀取SYSTENTER_EIP_MSR寄存器的信息,并備份系統KiFastCallEntry函數的地址
        • 構建一個我們自己的MyKiFastCallEntry函數用以過濾調用信息
        • 設置SYSTENTER_EIP_MSR寄存器指向我們自己構造的函數的地址
        • 如果需要摘除鉤子,將備份的系統KiFastCallEntry函數地址寫回SYSTENTER_EIP_MSR寄存器即可

        內核重載

        • 將內核文件加載到內存
        • 修復重定位
        • 使用當前內核數據填充新內核的SSDT表
        • HOOK KiFastCallEntry,使RING3進程調用走新內核

        說明:

        1. ​        本程序僅用于交流和研究,請勿用于其他用途。有任何后果與本人無關
        2. ​        由于環境不一樣 所以不能保證每個功能在每臺機器上都是可行的。如果程序有bug還請多多體諒

        MyMFCArk.rar (552.73 KB, 下載次數: 170)

        免費評分

        參與人數 19吾愛幣 +17 熱心值 +17 收起 理由
        onlylonely + 1 + 1 熱心腸。
        yixi + 1 + 1 熱心回復!
        lookerJ + 1 + 1 用心討論,共獲提升!
        ps0000001 + 1 + 1 用心討論,共獲提升!
        12924869872 + 1 開源吧
        duanjia0912 + 1 + 1 鼓勵轉貼優秀軟件安全工具和文檔!
        昨夜星辰恰似你 + 1 + 1 造輪子!搞起來
        s88550177 + 1 + 1 大佬NB
        sam喵喵 + 1 謝謝@Thanks!
        蘇紫方璇 + 1 + 1 不錯的代碼,學習下
        yiwai2012 + 1 + 1 感謝分享技術吾愛破解論壇因你更精彩!
        不怕黑的夜晚 + 1 + 1 我很贊同!
        獨行風云 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
        nj001 + 1 我很贊同!
        a77582508 + 1 + 1 學習一波
        Zerobits + 1 + 1 我很贊同!
        又紅又專 + 1 + 1 是個大佬
        davidai + 1 謝謝@Thanks!
        skyward + 1 + 1 大佬級別

        查看全部評分

        本帖被以下淘專輯推薦:

        發帖前要善用論壇搜索功能,那里可能會有你要找的答案或者已經有人發布過相同內容了,請勿重復發帖。

        推薦
        12924869872 發表于 2020-6-23 22:39
        下載看看                                                  
        推薦
         樓主| 自己的小白 發表于 2020-6-24 14:16 |樓主
        caizhe666 發表于 2020-6-24 12:54
        看到一個玩內核的了。。。建議你下次發出去時說一下你的測試環境,eprocess的的activelink的偏移每個系統不 ...

        測試環境win7 32位,不應該先到虛擬機跑跑嗎,直接真機,不會吧,不會吧
        沙發
         樓主| 自己的小白 發表于 2020-6-21 11:50 |樓主
        本帖最后由 自己的小白 于 2020-6-22 13:10 編輯

        感謝版主大大加精
        3#
        pumishuo 發表于 2020-6-21 14:40
        感謝發布原創作品,吾愛破解論壇因你更精彩!
        4#
        不怕黑的夜晚 發表于 2020-6-21 23:50
        感謝發布原創作品,吾愛破解論壇因你更精彩!
        5#
        Psyber 發表于 2020-6-22 00:19
        可以開源嘛大佬
        6#
        czxj2003 發表于 2020-6-22 09:29
        seeseeseeseeeeeee

        免費評分

        參與人數 1吾愛幣 -5 收起 理由
        蘇紫方璇 -5 請勿灌水,提高回帖質量是每位會員應盡的義務!

        查看全部評分

        7#
         樓主| 自己的小白 發表于 2020-6-22 10:03 |樓主
        Psyber 發表于 2020-6-22 00:19
        可以開源嘛大佬

        下面壓縮包就是源碼啊
        8#
        yiwai2012 發表于 2020-6-22 12:43
        感謝大佬分享源碼 JJ 增長5厘米
        9#
        sam喵喵 發表于 2020-6-22 16:33
        感謝分享,有源碼的分享是最牛的,必須評分一波
        10#
        leonalewis 發表于 2020-6-22 22:06
        源碼!感恩大佬無私
        您需要登錄后才可以回帖 登錄 | 注冊[Register]

        本版積分規則 警告:本版塊禁止灌水或回復與主題無關內容,違者重罰!

        快速回復 收藏帖子 返回列表 搜索

        RSS訂閱|小黑屋|聯系我們|吾愛破解 - LCG - LSG ( 京ICP備16042023號 | 京公網安備 11010502030087號 )

        GMT+8, 2020-6-28 20:27

        Powered by Discuz!

        Copyright © 2001-2020, Tencent Cloud.

        快速回復 返回頂部 返回列表
        快三开奖结果