首页
论坛
专栏
课程

[推荐]推荐一个老外写的ARK 支持预览版WIN10系统 还有各种RK功能

tdsss 2019-1-4 21:31 1292
逛UnKnoWnCheaTs时无意中发现的,英文介绍很长,下文是软件翻译的:

介绍

Windows Kernel Explorer(您可以简单地称之为“WKE”)是一个免费但功能强大的Windows内核研究工具。它支持从Windows XP到Windows 10,32位和64位。与流行的工具(如WIN64AST和PCHunter)相比,WKE是一个高度可定制的工具,它可以在最新的Windows 10上运行而无需更新二进制文件。


WKE如何在最新的Windows 10上运行

如果没有对当前系统的本机支持,WKE将自动下载所需的符号文件,90%的功能将在此步骤后工作。对于符号文件中不存在的一些所需数据,WKE将尝试从DAT文件中获取它们(因此,当新的Windows 10发布时,我将上传最新的DAT文件到GitHub)。如果WKE没有互联网访问权限,50%的功能仍然可以使用。目前,Windows XP到Windows 10 RS3(16299)提供本机支持,解析符号文件和DAT文件完全支持RS4和RS5。


如何自定义WKE

您可以通过编辑配置文件来自定义WKE。目前,您可以设置驱动程序的设备名称和符号链接名称以及过滤器的高度。您还可以启用内核模式和用户模式特征随机化,以避免被恶意软件检测到。如果重命名WKE的EXE文件,则需要使用相同的名称重命名SYS / DAT / INI文件。


关于数字签名

由于我没有数字证书,所以我必须使用来自HT SRL的泄漏数字证书来签署WKE的驱动程序。我使用“DSEFIX”作为加载驱动程序的替代解决方案,如果WKE无法加载驱动程序,您可以尝试使用“WKE_dsefix.bat”启动WKE。


核心功能

流程管理(模块,线程,句柄,内存,窗口,Windows挂钩等)

文件管理

注册管理

内核模式回调,过滤器,定时器,NDIS块和WFP填充管理

内核模式钩子扫描(MSR,EAT,IAT,CODE PATCH,SSDT,SSSDT,IDT,IRP,OBJECT)

用户模式挂钩扫描(内核回调表,EAT,IAT,代码补丁)

内存编辑器和符号解析器(它看起来像WINDBG的简化版本)

保护进程,隐藏/保护/重定向文件或目录,保护注册表并伪造注册表数据

驱动程序,进程和进程模块的路径修改

启用/禁用一些令人讨厌的Windows组件


修订记录

当前版本:20181231

这是第一个公开版本。


感谢名单

WIN64AST团队(我参考了UI设计和该软件的许多功能)

PCHunter团队(我参考了这个软件的一些功能)

ProcessHacker团队(我研究了这个软件的源代码,但我没有在我的项目中使用它)

DSEFIX的作者(我用它作为加载驱动程序的替代解决方案)


联络我

我的EMAIL地址是AxtMueller#gmx.de(将#替换为@)。

请用英语或德语写EMAIL,我只回复我感兴趣的EMAIL。

最后:我以为我是第一个发现的,其实项目的STAR列表里已经有很多用中文的ID了。为啥有好东西大家不早点分享到论坛上呢。


[推荐]看雪企服平台,提供APP等级保护加固等安全服务!

最后于 2019-1-7 18:30 被tdsss编辑 ,原因:
最新回复 (16)
zjjhszs 2019-1-4 22:49
2

1

下载了几次都失败,压缩包没用,需要代理IP下吗
tdsss 2019-1-4 23:43
3

1

zjjhszs 下载了几次都失败,压缩包没用,需要代理IP下吗
在GITHUB下载东西不用代理IP吧。
最后于 2019-1-7 16:38 被tdsss编辑 ,原因:
又出bug了 2 2019-1-5 10:35
4

1

lz好人,正缺一个ark工具。。
看到github很开心,以为有源代码。。。。实际上就一个bin

最后于 2019-1-5 10:43 被又出bug了编辑 ,原因:
lookzo 2019-1-5 11:12
5

1

感谢分享
cvcvxk 10 2019-1-5 15:43
6

1

又出bug了 lz好人,正缺一个ark工具。。看到github很开心,以为有源代码。。。。实际上就一个bin
以为有代码,结果并没有。继续用Pchunter
tdsss 2019-1-5 17:16
7

0

cvcvxk 以为有代码,结果并没有。继续用Pchunter
请问Pchunter的源码在哪里下载,我也想学习一下。
PYGame 2019-1-5 17:46
8

0

tdsss 请问Pchunter的源码在哪里下载,我也想学习一下。
这回答666 让老v打脸了 哈哈
tdsss 2019-1-5 17:48
9

0

PYGame 这回答666 让老v打脸了 哈哈
打脸?汗,我以为他的言下之意是,Pchunter是开源的,所以我才问他源码在哪里下载。 cvcvxk是知名的大手子,我没必要得罪啊。
最后于 2019-1-5 17:49 被tdsss编辑 ,原因:
cvcvxk 10 2019-1-5 17:57
10

0

tdsss PYGame 这回答666 让老v打脸了 哈哈 打脸?汗,我以为他的言下之意是,Pchunter是开源的,所以我才问他源码在哪里下载。 cvcvx ...
主要是PChunter有签名,代码我表示可以跟作者要。
PYGame 2019-1-5 18:06
11

0

cvcvxk 主要是PChunter有签名,代码我表示可以跟作者要。
不是我吹 就算你要我感觉也够呛(毕竟是心血) 最多只能要来一份商业的SDK...
lhb天羽 2019-1-7 11:00
12

0

还以为真的有源码~
tdsss 2019-1-9 08:28
13

0

cvcvxk 主要是PChunter有签名,代码我表示可以跟作者要。
请问您要到源码了吗?如果要到了,能在论坛上分享一下吗?
考虑了几天要不要发这个帖子,最终还是决定发出来。不知道是老王还是马云说过,梦想要有的,万一实现了呢。。。
最后于 2019-1-9 08:29 被tdsss编辑 ,原因:
冰雄 2019-1-9 17:34
14

0

楼主下到源码了吗。求分享
tdsss 3天前
15

0

冰雄 楼主下到源码了吗。求分享
我推荐了另外一个开源的ARK,同样老外写的,同样支持WIN10,但一个看的人都没有。
https://bbs.pediy.com/thread-248824.htm
最后于 3天前 被tdsss编辑 ,原因:
16

0

tdsss 冰雄 楼主下到源码了吗。求分享 我推荐了另外一个开源的ARK,同样老外写的,同样支持WIN10,但一个看的人都没有。https://bbs.pediy. ...
看了下代码3环部分写的挺好的,特别是符号这块的处理代码质量挺高的,封装的很好可以直接拿来用
这个工具和传统的ark工具相比,这个工具作为windbg的插件存在的,获取内核的数据完全借助于windbg
双机调的时候不用在目标机器上装和运行ark工具
最后于 3天前 被又出bug了编辑 ,原因:
冰雄 3天前
17

0

感觉还是比另一个功能少
返回