本帖最后由 Henglie 于 2025-8-11 07:54 编辑
我之前写过一篇帖子(原贴:https://www.52pojie.cn/thread-1808288-1-1.html)简要整理了此类工具,但大多都已在新系统(24H2)失效。
失效的原因无非就这几个:
①驱动签名吊销导致无法加载内核权限、
②内核冲突导致蓝屏使工具无法使用、
③代码技术落后导致功能失效、
④系统内核保护升级导致驱动无法使用。
这篇帖子将会详细介绍此类工具,以及使用方法教程。同样地,也会给出工具功能和实际功能使用情况的实验和统计。
1. 重新介绍一下这类工具
反内核工具(ARK工具)全称为Anti Rootkit工具,主要用于检测和对抗恶意内核程序(Rootkit)。
顾名思义,这类工具的使命就是对抗特定的Rootkit病毒,此类病毒权限极高,与内核联系紧密,甚至具备「进程隐藏」、「句柄降权」、「进程保护」、「毁坏杀毒」等能力。
大名鼎鼎的Rootkit病毒有:
紫狐(Purple Fox)【能持久化伪装系统dll】、
初始页变种ar(Rootkit.StartPage.ar)【能够隐藏进程和文件,强行链接攻击者指定站点】、
梅勒斯变种KG(Mnless.kg)【能够Hook键盘驱动,窃取密码,盗窃账号】、
更加重量级的:麻辣香锅病毒(Mlxg-km)【劫持浏览器主页,驱动保护文件,保护进程,维持病毒更新功能】
那么,ARK工具能做什么呢?通过其中的代表级软件PCHunter的面板就能看出:
是不是觉得麻雀虽小,五脏俱全?没错! 一个强大的ARK工具就相当于:任务管理器+注册表编辑器+驱动大师+某某杀毒+某某文件粉碎机+简易网络防火墙+高级资源管理器+CE修改器......
2. 可用工具的名单
介绍完毕,回到标题,这些ARK工具虽然很强,但在Windows内核层层保护的新系统(Win11 24H2)下,还剩哪些工具依然可用呢? 名单如下 - 具备功能:
- 动作监控、完全的进程管理(查看隐藏、挂起/杀死/恢复进程)、
- 启动项管理、
- 内核管理、
- 钩子管理、
- 服务项管理、
- 驱动管理、
- 网络管理、
- 完全的文件管理(强制 查/删/改 文件)、
- 注册表管理
- 优越之处:有新版火绒剑没有的文件管理功能。页面简洁美观。动作监控功能完整全面记录。
- 不足之处:本文件为旧版火绒提取版,会与新版火绒杀毒冲突,导致无法加载。有安装官方火绒杀毒的勿用。
- 使用建议:下载并完全解压后双击"HRSword.bat"(需要管理员),会自动加载驱动并启动软件本体。
- 具备功能:
- 动作监控、
- 完全的进程管理(查看隐藏、挂起/杀死/恢复进程)、
- 启动项管理、
- 钩子管理、
- 服务项管理、
- 驱动管理、
- 网络管理、
- 注册表管理、
- 系统环境分析
- 优越之处:页面美观大气,拥有夜间模式。动作监控功能完整全面记录。火绒新版工具,会一直更新。可直接通过火绒安全软件启动该工具(功能名为:安全分析工具)
- 不足之处:把文件管理阉割了!,还阉割了内核管理。UI制作精美,但可能导致性能问题(存疑)
- 使用建议:下载并且完全解压后双击“Install.bat”(需要管理员),会自动加载驱动并启动软件本体。但更建议使用火绒杀毒内自带的那个,那个可是一直在更新的,稳定性有保障。独立版有可能无法启动。
- 3. OpenArk 1.5.0 (Win11 24H2可用)
- 具备功能:部分的进程管理(没有查看隐藏进程功能!、挂起/杀死/恢复进程)、
- 特色进程管理(进程内存编辑、注入DLL、保护进程)、
- 完全的文件管理(强制 查/删/改 文件、解锁文件占用)、
- 启动项管理、系统回调、热键管理、IO管理(包含SSDT)、
- 对象管理、
- GUI窗口管理、
- 内存读写、
- 钩子管理、
- 服务项管理、
- 驱动管理、
- 更强大的网络管理(Wfp、Afd、Tdx、NsiProxy、Tcpip、NDIS、SPI)、
- 注册表管理、
- 系统环境分析、
- 调试组件(符号库管理)
- 还有一些并不属于ARK工具的功能(无截图,请自行探索):
- 编程助手(文字编码、数学计算、常量信息、加密解密、汇编工具、PE扫描器、ELF扫描器)、
- 捆绑文件工具、
- 第三方工具库(Windows和Liunx工具、开发依赖、系统工具、垃圾清理工具....)
- 优越之处:页面清晰明了,可自由切换内核模式与非内核模式(允许低权限运行),几乎把所有ARK本职功能给收入囊中。特色的内存功能允许在没有CE的情况下读写内存(在一定程度上代替了CE的部分功能)。并且,该软件开源,作者一直在更新!
- 不足之处:没有查看隐藏进程功能!没有查看隐藏进程功能!!没有查看隐藏进程功能!!!关于该问题我已向作者反馈。但似乎泥牛入海。。。。并且该软件没有关于自我保护和防检测的功能,标题更是直接表明自己的反内核工具。
-
- 使用建议:下载后直接启动(注意64位系统使用OpenArk64,32位系统同理)。使用内核功能请选择以管理员权限启动,并在打开软件后依次点击界面上的“内核”→“进入内核模式”(右下角按钮)。
- 4. ATool 安天系统安全管理工具 V3.5.1.5 (Win11 24H2可用)
- 具备功能:
- 完全的进程管理(查看隐藏、挂起/杀死/恢复进程)、
- 启动项管理、
- 内核管理、
- 钩子管理、
- 服务管理、
- 驱动管理、
- 网络管理、
- 完全的文件管理(强制 查/删/改 文件)、
- 注册表管理、
- 浏览器插件管理、
- IO管理(带SSDT)、
- 引导记录管理(可修复引导记录)
- 优越之处:大厂出品,驱动稳定,持续更新。具有引导管理等功能,可使用该软件修复一些恶搞型木马。具有一定的自我保护功能。
- 不足之处:UI界面丑死了!在高分辨率屏下模糊。软件遍历的时候时间较长。软件按钮说明部分不是很明显,功能要找半天。
- 使用建议:下载并且完全解压后双击直接启动“ATool.exe”。
- 5. Windows 可视化管理 V1.1.1.0(Win11 24H2可用)
- 具备功能:完全的进程管理(查看隐藏、挂起/杀死/恢复进程)、
- 启动项管理、
- 服务管理、
- 驱动管理、
- 网络管理
- 还有一些并不属于ARK工具的功能(无截图,请自行探索):
- 垃圾清理、
- 右键菜单、
- 软件卸载、
- 命名空间、
- 字体、清理隐私痕迹、
- 抓图工具、
- 钢琴(??真的是钢琴软件)、
- 磁盘检测、
- 系统事件
- 优越之处:软件本身的可玩性高,适合于计算机调试。软件设置极其丰富,自由调节Windows的功能。拥有硬件信息功能。
- 不足之处:UI基本没有UI,关于内核的功能较少。比起说它是一款ark工具,不如说这是一款任务管理器的Pro版。
- 使用建议:下载并且完全解压后双击直接启动“WVM.exe”。
- 具备功能:
- 动作监控、
- 进程注入、
- 完全的进程管理(查看隐藏、挂起/杀死/恢复进程,保护进程)、
- 启动项管理、
- 内核管理、
- 钩子管理、
- 服务项管理、
- 驱动管理、
- 网络管理、
- 完全的文件管理(强制 查/删/改 文件)、
- 注册表管理、
- 调试功能
- 优越之处:软件界面及其UI简单明了。与PChunter操作习惯类似,可快速上手。并且,拥有内存注入功能,还有一些调试工具可使用。
- 不足之处:比起其他ark工具,软件本身不太稳定。时常在遍历的时候崩溃退出,但不会触发蓝屏。作者似乎很久没更新了,最新系统(25H2)慎用。
- 使用建议:下载后双击打开"PYArkClient.vmp.exe"(需要管理员)。
目前只找到了这些,其他软件不是不能用(或功能少、功能失效)就是用着不稳定qwq, 如果还有就下次更新吧。
3.这类工具的意义
有人会问:现在的杀毒软件这么智能,就连火绒都有独立版的内核对抗工具,这些工具还有存在的必要吗?
答:有的,姐妹有的。诚然这类工具受到自动化杀毒软件的排挤(可能报毒),或是受到来自微软官方的制裁(吊销驱动)。但它们至少让我们的计算机,我们的设备处于一个所属者自由控制的透明环境——我可以用它查看有没有软件在扫我硬盘,有没有软件在私藏进程,有没有软件放置了隐藏文件、同样、我也可以知道我的系统总体的情况,具体的情况,深层的情况。这种掌控感并不只是一种心理作用,更是一种基于高权限的安全感。退一步讲,杀毒软件就没有漏报的时候吗?此时深藏硬盘的反内核工具就重见天日啦!
也有人问:现在就连病毒木马都是旧时代的产物了,这个工具理应淘汰了吧,为什么还会有人在win11下继续支持并且更新呢?
答:得益于微软的功劳,内核级Rootkit病毒制作愈发困难(驱动是必须签名的)。但是!不代表没有。另外,此类工具并不只是用于手工杀毒(都怪这“反内核工具”命名本身误解的owo),还可用于驱动开发调试(挺小众的),Windows内核深挖重写(无聊可以试试),信息安全取证(xx软件扫盘窃取隐私最佳证明方式),病毒实验室的行为分析(你猜火绒为什么搞火绒剑?)......因此还会继续更新以适配最新系统,许多用途导致还是有一批人离不开它。或许,这类工具的别称(内核工具)更能概括它的十八般武义吧。
4.附件和下载链接:
百度网盘: https://pan.baidu.com/s/1Flci__IeqMqGxsUtzPJLBA?pwd=0000
5.后记和系统版本:
感谢你看到这里,这篇文章写了七个小时,做了很多功能的实测,虽没有录制视频,但你也可以下载自己试试呢owo!
我的系统信息(测试电脑):- Windows 11 专业工作站版 24H2
- 处理器 Intel(R) Core(TM) Ultra 9 275HX 2.70 GHz
- 机带 RAM 32.0 GB
- 系统类型 64 位操作系统 基于 x64 的处理器
| 
[复制链接]
发表于 2025-8-11 07:51
