一款专业的 Windows 恶意程序分析与清理工具
各人好,今天给各人分享一款专业的 Windows 恶意程序分析与清理工具OpenArk,它可以或许资助用户发现体系中隐藏的恶意软件。https://i-blog.csdnimg.cn/blog_migrate/02e1be739f820a1a9415545ab33dbc02.png
OpenArk是一款Windows平台上的开源Ark工具. Ark是Anti-Rootkit(对抗恶意程序)的简写, OpenArk目标成为逆向工程师、编程职员的工具,同时也能为那些渴望清理恶意软件的用户服务。以后也将会支持更多功能和下令。
项目介绍
OpenArk答应用户查看和操纵进程、线程、模块、句柄、内存、窗口等,并包含了进程注入等高级功能。此外,它还提供了内核级别的工具来查抄和操纵内存管理、驱动程序、热键、回调、过滤驱动等,以对抗和分析潜伏的恶意软件行为。
特色功能
1. 进程
支持查看进程、线程、模块、句柄、内存、窗口、Token、内存扫描、PPL等信息,还有模块卸载、进程注入等功能。
[*]创建进程Dump
使用OpenArk,选定进程,右键创建Dump,可选Fulldump或Minidump,一样寻常进程内存使用不多的环境下,Dump都选Fulldump。
https://i-blog.csdnimg.cn/blog_migrate/b372bcc4213439404bce540658a2bc6c.png
[*]定位进程文件
程列表中选择进程,右键Explore File,大概使用快捷键Ctrl + L,即可定位到进程文件路径。
[*]批量结束进程
批量结束进程跟查找进程参数基本一致,仅多告终束进程动作。
使用下令:
.ps -kill -name <进程名模糊匹配>
.ps -kill -path <进程路径模糊匹配>
.ps -kill -pid <进程ID,逗号分隔>
[*]查看内存信息
查看体系内存使用:
C:\>.mm
PageSize : 4096 B
Memory Usage : 89.11%
-------------------------------------------
CommitTotal : 14.28 GB (14625.38 MB)
CommitLimit : 21.40 GB (21918.15 MB)
CommitPeak : 15.58 GB (15955.36 MB)
-------------------------------------------
PhysicalTotal : 15.95 GB (16337.25 MB)
PhysicalAvailable : 1.74 GB (1778.73 MB)
-------------------------------------------
KernelTotal : 0.94 GB (966.70 MB)
KernelPaged : 0.74 GB (756.39 MB)
KernelNonpaged : 0.21 GB (210.31 MB)
SystemCache : 2.90 GB (2964.89 MB) 查看进程内存使用:
C:\>.mm -pid 488
Working set : 5.48 MB
WS Private : 1.59 MB
Private : 1.91 MB
PeakWorkingSet : 5.55 MB
PageFaultCount : 1875
-------------------------------------------
QuotaPagedPoolUsage : 0.11 MB
QuotaNonPagedPoolUsage : 0.02 MB
QuotaPeakPagedPoolUsage : 0.12 MB
QuotaPeakNonPagedPoolUsage : 0.02 MB
-------------------------------------------
PagefileUsage : 1.91 MB
PeakPagefileUsage : 2.28 MB
[*]查看进程基本信息
进程列表中选定进程,双击大概Ctrl + P查看Properties,如下图所示:
https://i-blog.csdnimg.cn/blog_migrate/c3437436bba359c303f0b284724695af.png
[*]查看进程模块
进程列表中选定进程,模块如下图所示:
https://i-blog.csdnimg.cn/blog_migrate/8ee4849f8d164a3f10cc4fedaa6eed27.png
[*]查看进程窗口
进程列表双击(大概右键查看Properties),选择WindowList,如下:
https://i-blog.csdnimg.cn/blog_migrate/bcfc1dcbe630e079d34faccc1d3e75eb.png
[*]查看进程线程
在进程列表双击(大概右键查看Properties),选择Thread,如下:
https://i-blog.csdnimg.cn/blog_migrate/20db56a5974977fc24b49820c94955ec.png
[*]通过PID选择进程
使用快捷键Ctrl + G,可输入进程ID(10进制或16进制)来定位进程,如下图所示:
https://i-blog.csdnimg.cn/blog_migrate/83647f545ea3a0e0089d5e6b7062dffa.png
2. 内核
体系内核工具,比方:内存管理、驱动、热键、回调、过滤驱动、存储、IDT/SDT/NDIS/WFP等功能。
[*]查看被占用的体系热键
常常会碰到体系热键/快捷键被占用,但是不知道被谁占用。OpenArk现已加入可以枚举和摘除体系热键的功能,支持Win7/Win8/Win8.1/Win2012/Win2016/Win10 (~2004) x86/x64 Win7及以上全部版本)。
https://i-blog.csdnimg.cn/blog_migrate/6b58add36882ee820b6fb9bb3097c512.png
注意:假如上面没获取对应的热键,请查抄你输入法的快捷键(好比:微软拼音/搜狗/谷歌输入法等),由于输入法的快捷键是单独管理的,不在体系全局热键中。
[*]解锁被占用的文件
常常会碰到文件或文件夹被占用,但是却不知道被谁占用着,故OpenArk加入了雷同Unlocker(老一代软件)的文件解锁功能,可以或许快速地帮用户解决文件占用问题。
https://i-blog.csdnimg.cn/blog_migrate/b82805921968f7c95c739c630e2c0efe.png
由于某些程序的自身实现逻辑,解锁某些文件后,会导致该程序退出;别的偶尔候结束相关的进程也许不够优雅,但是却是一种比力实用的方式。
3. 编程助手
程序员的工具箱。
[*]时间戳转换
使用下令.ts,查看阐明:
C:\>.help .ts
.ts - show unix timestamp
.ts 1234566/0n22222/0x431203BC
[*]查看笔墨编码
笔墨编码种类繁多,常见的是ASCII、UTF-8、UTF-16、GBK、BIG5等。对于汉化职员大概常常碰到乱码的开发职员来说,查看笔墨编码显得尤为告急。
https://i-blog.csdnimg.cn/blog_migrate/21f93e20f0e34da18cc718ed12d2024d.png
[*]查看窗口消息ID
查看消息处置惩罚过程函数原型,窗口消息ID即是uMsg,通常我们逆向分析跟踪消息处置惩罚过程时常常会用到。
查看全部消息ID,可通过.msg下令,.msg使用阐明:
C:\>.help .msg
.msg - show window message id
.msg
.msg -name button
.msg -id 201/0x201/0n513
[*]体系错误值查看
可使用图形化工具,也可使用.err下令
https://i-blog.csdnimg.cn/blog_migrate/a46b78ac6dace70002dcbaa8e7cd59d9.png
查看.err下令使用阐明:
C:\>.help .err
.err - show LastError or NTSTATUS
.err 2
.err -s c0000034
[*]进制转换
值修饰前缀和Windbg保持一致。
二进制:0y (BIN)
八进制:0t (OCT)
十进制:0n (DEC)
十六进制:0x(HEX)
默认值:针对不同命令可能不一致,如.ps 和 .wnd具体查看对应命令的使用说明 .fmt使用资助
C:\>.help .fmt
.fmt - show value formats, default radix is 16(hex)
.fmt 0x400/0n1024 C:\>.fmt 123
HEX: 123
DEC: 291
OCT: 443
BIN: 00000001 00100011
STR: .. 4. 扫描器
PE/ELF文件解析器,以后会变成病毒分析助手。
PE文件是Windows下的可实行程序,与之对应的是Linux下的ELF,macOS下的Mac-O,都是遵从COFF结构标准,两个基本要素是:头Header + 区段(Section),头是属于Meta数据,区段是具体内容。
查看PE文件结构使用方法,如下图所示:
https://i-blog.csdnimg.cn/blog_migrate/95136aa68d618baed89860315fb1ed36.png
查看基本信息
https://i-blog.csdnimg.cn/blog_migrate/489058c5612e345c21e6b4336009707c.png
5. 捆绑器
目次和多个程序可以捆绑成一个exe程序,同时支持脚本。
示例,请查看制作一个捆绑程序。
6. 工具库
精心挑选了许多有用的小工具,这些和OpenArk既有功能互补,高效率,我们一直在思考。
https://i-blog.csdnimg.cn/blog_migrate/aa2d4c4a1c42410e9d3939800cdc9867.png
7. 语言
现在支持中文和英文,以后会支持更多。
安装使用
[*] 程序:独立的exe,无DLL依赖,支持32位、64位。
[*] 支持体系:Windows XP … Win7 … Win10 … Win11 …
下载地点,请前往Github发布页。
编译安装,请参考编译安装指南。
项目地点
https://github.com/BlackINT3/OpenArk
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]