查看: 56916|回复: 78
收起左侧

[原创工具] AntiRookit4Dream v0.1 Alpha Build140502 [R3无驱ARK]

  [复制链接]
ExitProces
发表于 2015-3-21 15:49:41 | 显示全部楼层 |阅读模式
本帖最后由 ExitProces 于 2015-3-21 15:51 编辑

AntiRookit4Dream v0.1 Alpha Build140502 [R3无驱ARK]
AntiRookit4Dream,这个程序其实是去年(2014)我高中时写的一个R3进程管理.
现在大学了,很少玩这个东西了.再尘封下去就永不见天日了.所以放出来给大伙们看看.
自我感觉强度还是不错的.可以强杀几乎所有R3进程保护,同时也可以强杀很多加驱的R0进程保护.
标题确实违心的写着"ARK",其实这个只是个玩具,进程枚举的是NtQuerySystemInformation.即使是NtdllAPI,却基本是没有隐藏进程检查的能力.
隐藏进程检查的能力不足,转而研究实践过很多关于R3下的强杀,分析出了R3下比较全面的强杀方法和套路,都已经用在ARK4D里了.
如果目标进程保护的方面不够周全,不管R3/R0,都会被结束.
虽然ARK4D并不是VC++编写的,但是全程纯NtdllAPI编程,不涉及任何模块,加入和很多容错的语句和处理,可靠性还是有稍微那么一点的.
ARK4D的编写历时两个多月,从最初的涉及钩子和NtdllAPI,到后来的全局消息钩子,远程线程注入和全程NtdllAPI,一路上学习了很多...
原帖:http://bbs.kafan.cn/thread-1703687-1-1.html

捕获.JPG

AntiRookit4Dream.rar (353.74 KB, 下载次数: 5047)

评分

参与人数 3分享 +3 魅力 +1 人气 +1 收起 理由
a330391 + 3 感谢提供分享
边缘vip + 1 原创魅力值加1奖励!望能够持续更新和改进.
小v可 + 1 感谢解答: )

查看全部评分

天月来了
发表于 2015-3-23 11:21:46 | 显示全部楼层
建议

1、非微软的进程为蓝色还是能接受的,但是微软进程下有非微软的模块的微软进程建议改为红色或紫色,因为你现在的灰色看上去难受呢。

2、能增加文件管理么?哪怕是普通级别的也好,文件管理要做到最基本的象Wsyscheck或AntiSpy这两工具的形式。

3、能增加个象“驱动模块”那样的单独的进程模块列表也不错呢,将所有非微软的模块列在一起,右键菜单提供些操作。

这个进程管理尽量得支持已知的XP以及XP以上的所有系统,包括64位系统才绝美啊

很喜欢呢

评分

参与人数 4人气 +4 收起 理由
穿越星空 + 1 你是专业底层程序测试人员么?
liulangzhecgr + 1 赞一个!
小v可 + 1 版区有你更精彩: )
边缘vip + 1

查看全部评分

ExitProces
 楼主| 发表于 2015-3-23 15:14:22 | 显示全部楼层
天月来了 发表于 2015-3-23 11:21
建议

1、非微软的进程为蓝色还是能接受的,但是微软进程下有非微软的模块的微软进程建议改为红色或紫色 ...

非常感谢你的下载测试,我想回答一下你的疑问:

1.其实我用过PCHUNTER,里面就是你所建议的一样,微软进程下有非微软的模块的显示为粉红色,但是那时候我考虑觉得粉红色会不会是有点太亮骚了.如果显示为粉红色是行业惯例的话,以后我会修改的.

2.当时只是一味的想着无限增强增强增强R3下的强杀能力,却没有考虑到文件方面的细节,感谢提醒,以后我会增加的.

3.如果你没有看到单独的进程模块列表的话,那就说明你没有在进程列表的右键菜单中勾选上显示详细信息.勾选上之后,有进程模块列表,线程列表,窗口列表,和权限列表.这些都是用NtQuerySystemInformation枚举的.虽然比较费劲写出来的,但是为了美观,所以就忍痛把他藏在了右键的勾选显示详细信息中.

多系统适配问题,其实这个ARK4D一直都支持XP,7,8,8.1甚至10.无论是32位还是64位.只不过在10中有强度的丢失.但是,由于当初高中时候是在中午午睡的时候偷溜到机房偷偷码出来的.机房05年的旧机子,实在没办法测试到太多的系统.所以也就不了了之了.

非常感谢你的喜欢,现在上读了半年的计算机专业,有更多的时间之后,学习和思考了很多.感觉以前写的ARK4D还真的真的是一个小玩具.我一直都在为ARK4D下一版本准备.一直都在做技术储备.只是想为了做的更好.
天月来了
发表于 2015-3-23 15:37:59 | 显示全部楼层
本帖最后由 天月来了 于 2015-3-23 15:40 编辑
ExitProces 发表于 2015-3-23 15:14
非常感谢你的下载测试,我想回答一下你的疑问:

1.其实我用过PCHUNTER,里面就是你所建议的一样,微软进程 ...


你不弄粉色是可以的,只是别灰色就可以,就是说别不显眼就可以,呵呵,就是弄成显眼的意思啦

进程模块列表那个下面列出我是知道的。只是那需要每个进程去点击,我想能有单独的象“驱动模块”那样的单独的进程模块列表列在那,就可以快速看了。当然主进程界面保持原操作功能不变的了。因为单一进程下查看模块也是需要的。

工具整体看上去很舒服的。无驱的多系统支持是很好的工具呢

增加易用的文件管理后,就可以到处推荐首选使用它了







ExitProces
 楼主| 发表于 2015-3-23 17:58:46 | 显示全部楼层
天月来了 发表于 2015-3-23 15:37
你不弄粉色是可以的,只是别灰色就可以,就是说别不显眼就可以,呵呵,就是弄成显眼的意思啦

进程模 ...

哈哈,天月前辈教训的是,以后我会注意的,经过我的学习和努力,希望ARK4D下一版本会让你满意.O(∩_∩)O~
hhh19680424
发表于 2015-3-23 23:17:27 | 显示全部楼层
谢谢楼主分享,有时间可以去试试
power2013
发表于 2015-3-24 22:57:27 | 显示全部楼层
感谢分享 试用看看
shucaiAiz
发表于 2015-3-24 23:12:30 | 显示全部楼层
不错 支持ark工具
ExitProces
 楼主| 发表于 2015-3-25 00:53:21 | 显示全部楼层
power2013 发表于 2015-3-24 22:57
感谢分享 试用看看

谢谢支持,如果使用过程中有任何疑问,请@我哦,多谢啦~
ExitProces
 楼主| 发表于 2015-3-25 00:54:01 | 显示全部楼层

谢谢支持,如果使用过程中有任何疑问,请@我哦,多谢啦~
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 12:06 , Processed in 0.113377 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表