Ring3 驱动检测工具

JuncoJet · 发表于 2022-7-6 11:10

ARK不是被Rootkit打败了，而是被系统，
系统版本越高，ARK工具越来越不好用，自己动手写个驱动工具
可以在当前运行环境或者PE里挂载注册表（划重点），然后来检测驱动，功能实现比较简单，但检测方式比较自由
已测试XP SP3，WIN7，WIN 2016
蓝奏 https://jcjt.lanzoul.com/icVOZ07g0bqb
如无法运行，检测一下VC2005运行库是否安装

tmdgdx · 发表于 2022-7-7 07:44

使用了一下，借机提几个建议：
1、由于是危险操作，注意防呆设计，删除时弹出确定对话框。如使用【是】【否】【取消】三个按钮，对调常规心理的【是】是确定删除，改成【否】才是确定删除功能。
2、注册表或文件删除之后，请立即自动刷新列表（为提高速度，可只是删除列表上的展示，不用重新扫描）。
3、增加更丰富的文件信息展示并排序，如文件日期、大小、扩展名（好像只有sys

）等
4、增加菜单：是否隐藏微软签名的驱动等

hjw01 · 发表于 2022-7-6 11:20

good boy谢谢分享收藏了

Ajin1989 · 发表于 2022-7-6 11:21

我想说很赞

zxxiaopi · 发表于 2022-7-6 11:24

感谢分享

你与明日 · 发表于 2022-7-6 11:46

没下载但我想猜猜看,是不是CreateFile(config\SYSTEM),然后以HIVE方式解析.

CXC303 · 发表于 2022-7-6 11:47

感谢分享

飞翔007 · 发表于 2022-7-6 11:50

我想说很赞

飞翔007 · 发表于 2022-7-6 11:54

没下载但我想猜猜看,是不是CreateFile(config\SYSTEM),然后以HIVE方式解析.

JuncoJet · 发表于 2022-7-6 12:07

飞翔007 发表于 2022-7-6 11:54
没下载但我想猜猜看,是不是CreateFile(config\SYSTEM),然后以HIVE方式解析.

没有HIVE，HIVE解析我会用VB写么

JuncoJet · 发表于 2022-7-6 12:09

你与明日发表于 2022-7-6 11:46
没下载但我想猜猜看,是不是CreateFile(config\SYSTEM),然后以HIVE方式解析.

没这么高级

帐号		自动登录	找回密码
密码			注册[Register]

[原创工具] Ring3 驱动检测工具

免费评分

本帖被以下淘专辑推荐:

个人中心