放大大大大招，“恶意程序”的终结者！

 

最近，鬼哥发现一款牛逼的ARK工具，目前已开源，牛的一逼，你想要的功能都有，代码结构见下图~

先解释一下ARK，它的全称：Anti-Rootkit，直译抗恶意程序。

啥也不说了，先看效果，见下图

它主要适用于程序员及逆向工程师，也能为那些想清除恶意程序的同学好好服务~

功能说明

1、内核

系统内核相关的工具，需要进行相关操作，首先得进入内核模式。

内核模式中，我们最主要用的功能可能就两个：修改被系统占用的热键和解锁被占用的文件。

比如查找热键，支持热键排序，可以删除，可定位等，见下图

解锁被占用文件这个功能，肯定大家都会遇到，怎么使用呢？

在存储界面，左下角输入文件路径，目前支持模糊匹配，不区分大小写，见图

按回车键或点击"查看占用"，界面就会列出匹配到的被占用项目，展示相关进程、文件路径、文件句柄、文件对象、模块地址等信息，便可以进行相关的解锁操作了~

2、扫描器

我个人觉得这个功能主要给开发者使用，方便查看一个进程的基本信息，PE头，区段，导入表，导出表等。

具体怎么使用呢？

在进程列表或模块列表，右键“扫描文件”，便可在扫描器标签看到具体的信息，见下图

3、编程助手

这个功能，顾名思义，就是一些方便开发者的小工具，比如文字编码，常量信息，加密算法，汇编工具。感兴趣的同学，可以自行去查看~

4、进程管理

我相信这个功能，你熟悉windows系统的话，一定不会陌生。很多安全工具都有这个功能，此软件的该功能相对来说，更加丰富，支持查看进程、线程、模块、句柄、内存、窗口等信息，还有进程注入等功能。

其实我感觉进程注入，是真的方便~

找到要注入的进程，例如注入到notepad.exe进程。可直接在进程右键菜单中选择 “注入进程”，如下图

其实，咱们也可以使用命令来注入，进程ID用十进制表示，需要前缀0n，见下图

注入成功后，控制台会输出日志：

[+] inject pid:11248 path:"I:\demo\inject-demo64.dll" ok

dll注入成功，见下图

点击确定后，dll会调用exit函数，记事本进程会自动退出。

5、捆绑器

一般用于恶意进攻的程序，把一个具有恶意功能的程序，捆绑到一个正常的程序上，这样，别人执行正常程序就中招了~

如何制作？

这里，我们选了winhex来实验，把它们放入文件夹中，命名shadow，见下图

说明：

winhex 17.2 SR-6是winhex安装后的文件夹；

shadow.bat (用于测试)

@echo offecho shadow BAT runningpause>nul

shadow.vbs (用于测试)

msgbox "shadow VBS running"

选择该shadow文件夹，可以拖动文件夹到程序中（默认管理员）

写入要执行的脚本

cmd net user shadow 123/add     //添加一个用户shadowstart cmd /c %root%\shadow.bat   //执行测试的batstart wscript %root%\shadow.vbs  //执行测试vbscall %root%/./winhex 17.2 SR-6/WinHex.exe  //启动winhexclean //清理释放后的文件

选择捆绑后程序的图标，在列表里找到winhex.exe，“选择图标”选择一个图标（exe/ico皆可）。

生成捆绑程序，Save to 保存到exe即可，例如Winhex.exe。

此时，运行程序，结果见下图

到这里，基本上一个捆绑程序就搞定了，我相信有不少同学一脸懵逼，这样太难了吧~

要是有这种感觉的同学，需要恶补一下了~

6、实用工具

这里主要包括咱们常用的系统工具和垃圾清理工具。

7、逆向工具

这里包含了咱们常用的逆向工具和开发依赖工具，点一下，就给你下载安装好~

好啦~今天的推荐就到这啦，赶紧去下载叭~~