首页 > 系统相关 >一款专业的 Windows 恶意程序分析与清理工具

一款专业的 Windows 恶意程序分析与清理工具

时间:2024-08-05 15:50:18浏览次数:17  
标签:查看 MB Windows show 恶意程序 GB OpenArk 进程 一款

大家好,今天给大家分享一款专业的 Windows 恶意程序分析与清理工具OpenArk,它能够帮助用户发现系统中隐藏的恶意软件。

OpenArk是一款Windows平台上的开源Ark工具. Ark是Anti-Rootkit(对抗恶意程序)的简写, OpenArk目标成为逆向工程师、编程人员的工具,同时也能为那些希望清理恶意软件的用户服务。以后也将会支持更多功能和命令。

项目介绍

OpenArk允许用户查看和操作进程、线程、模块、句柄、内存、窗口等,并包含了进程注入等高级功能。此外,它还提供了内核级别的工具来检查和操作内存管理、驱动程序、热键、回调、过滤驱动等,以对抗和分析潜在的恶意软件行为。

特色功能

1. 进程

支持查看进程、线程、模块、句柄、内存、窗口、Token、内存扫描、PPL等信息,还有模块卸载、进程注入等功能。

  • 创建进程Dump

使用OpenArk,选定进程,右键创建Dump,可选Fulldump或Minidump,一般进程内存使用不多的情况下,Dump都选Fulldump。

  • 定位进程文件

程列表中选择进程,右键Explore File,或者使用快捷键Ctrl + L,即可定位到进程文件路径。

  • 批量结束进程

批量结束进程跟查找进程参数基本一致,仅多了结束进程动作。

使用命令:

.ps -kill -name <进程名模糊匹配>
.ps -kill -path <进程路径模糊匹配>
.ps -kill -pid <进程ID,逗号分隔>
  • 查看内存信息

查看系统内存使用:

C:\>.mm
PageSize : 4096 B
Memory Usage : 89.11%
-------------------------------------------
CommitTotal : 14.28 GB (14625.38 MB)
CommitLimit : 21.40 GB (21918.15 MB)
CommitPeak : 15.58 GB (15955.36 MB)
-------------------------------------------
PhysicalTotal : 15.95 GB (16337.25 MB)
PhysicalAvailable : 1.74 GB (1778.73 MB)
-------------------------------------------
KernelTotal : 0.94 GB (966.70 MB)
KernelPaged : 0.74 GB (756.39 MB)
KernelNonpaged : 0.21 GB (210.31 MB)
SystemCache : 2.90 GB (2964.89 MB)

查看进程内存使用:

C:\>.mm -pid 488
Working set : 5.48 MB
WS Private : 1.59 MB
Private : 1.91 MB
PeakWorkingSet : 5.55 MB
PageFaultCount : 1875
-------------------------------------------
QuotaPagedPoolUsage : 0.11 MB
QuotaNonPagedPoolUsage : 0.02 MB
QuotaPeakPagedPoolUsage : 0.12 MB
QuotaPeakNonPagedPoolUsage : 0.02 MB
-------------------------------------------
PagefileUsage : 1.91 MB
PeakPagefileUsage : 2.28 MB
  • 查看进程基本信息

进程列表中选定进程,双击或者Ctrl + P查看Properties,如下图所示:

  • 查看进程模块

进程列表中选定进程,模块如下图所示:

  • 查看进程窗口

进程列表双击(或者右键查看Properties),选择WindowList,如下:

  • 查看进程线程

在进程列表双击(或者右键查看Properties),选择Thread,如下:

  • 通过PID选择进程

使用快捷键Ctrl + G,可输入进程ID(10进制或16进制)来定位进程,如下图所示:

2. 内核

系统内核工具,例如:内存管理、驱动、热键、回调、过滤驱动、存储、IDT/SDT/NDIS/WFP等功能。

  • 查看被占用的系统热键

经常会遇到系统热键/快捷键被占用,但是不知道被谁占用。OpenArk现已加入可以枚举和摘除系统热键的功能,支持Win7/Win8/Win8.1/Win2012/Win2016/Win10 (~2004) x86/x64 Win7及以上所有版本)。

注意:如果上面没获取对应的热键,请检查你输入法的快捷键(比如:微软拼音/搜狗/谷歌输入法等),因为输入法的快捷键是单独管理的,不在系统全局热键中。

  • 解锁被占用的文件

经常会遇到文件或文件夹被占用,但是却不知道被谁占用着,故OpenArk加入了类似Unlocker(老一代软件)的文件解锁功能,能够快速地帮用户解决文件占用问题。

由于某些程序的自身实现逻辑,解锁某些文件后,会导致该程序退出;另外有时候结束相关的进程也许不够优雅,但是却是一种比较实用的方式。

3. 编程助手

程序员的工具箱。

  • 时间戳转换

使用命令.ts,查看说明:

C:\>.help .ts
.ts - show unix timestamp
.ts 1234566/0n22222/0x431203BC [show timestamp]
  • 查看文字编码

文字编码种类繁多,常见的是ASCII、UTF-8、UTF-16、GBK、BIG5等。对于汉化人员或者经常遇到乱码的开发人员来说,查看文字编码显得尤为重要。

  • 查看窗口消息ID

查看消息处理过程函数原型,窗口消息ID即是uMsg,通常我们逆向分析跟踪消息处理过程时经常会用到。

查看所有消息ID,可通过.msg命令,.msg使用说明:

C:\>.help .msg
.msg - show window message id
.msg [show message id list]
.msg -name button [show message name matched *button*, eg:WM_LBUTTONDOWN...]
.msg -id 201/0x201/0n513 [implies WM_LBUTTONDOWN]
  • 系统错误值查看

可使用图形化工具,也可使用.err命令

查看.err命令使用说明:

C:\>.help .err
.err - show LastError or NTSTATUS
.err 2 [show LastError]
.err -s c0000034 [show NTSTATUS]
  • 进制转换
值修饰前缀和Windbg保持一致。
二进制:0y    (BIN)
八进制:0t    (OCT)
十进制:0n    (DEC)
十六进制:0x  (HEX)
默认值:针对不同命令可能不一致,如.ps 和 .wnd具体查看对应命令的使用说明

.fmt使用帮助

C:\>.help .fmt
.fmt - show value formats, default radix is 16(hex)
.fmt 0x400/0n1024 [Hex(0x),Dec(0n),Oct(0t),Bin(0y)]
C:\>.fmt 123
HEX: 123
DEC: 291
OCT: 443
BIN: 00000001 00100011
STR: ..

4. 扫描器

PE/ELF文件解析器,以后会变成病毒分析助手。

PE文件是Windows下的可执行程序,与之对应的是Linux下的ELF,macOS下的Mac-O,都是遵从COFF结构标准,两个基本要素是:头Header + 区段(Section),头是属于Meta数据,区段是具体内容。

查看PE文件结构使用方法,如下图所示:

查看基本信息

5. 捆绑器

目录和多个程序可以捆绑成一个exe程序,同时支持脚本。

示例,请查看制作一个捆绑程序

6. 工具库

精心挑选了许多有用的小工具,这些和OpenArk既有功能互补,高效率,我们一直在思考。

7. 语言

目前支持中文和英文,以后会支持更多。

安装使用

  • 程序:独立的exe,无DLL依赖,支持32位、64位。

  • 支持系统:Windows XP … Win7 … Win10 … Win11 …

下载地址,请前往Github发布页

编译安装,请参考编译安装指南

项目地址

https://github.com/BlackINT3/OpenArk

标签:查看,MB,Windows,show,恶意程序,GB,OpenArk,进程,一款
From: https://www.cnblogs.com/yunmoom/p/18343374

相关文章

  • Parallels Desktop19.3.0虚拟机软件可以让你在Mac上同时运行Windows、Linux等多个系统
    ParallelsDesktop19,一个虚拟机软件,可以让你在Mac上同时运行Windows、Linux等多个系统。听起来是不是很厉害?但其实它还有更多隐藏的小技巧等着你去发现。如果你还在因为Mac和Windows之间的不兼容而苦恼,那么ParallelsDesktop19就是你的救星。它可以帮助你轻松地在Mac上运行Win......
  • Parallels Desktop19Mac就是这样一个神器!在Windows和Mac之间反复切换横跳!
    在Windows和Mac之间反复横跳,是很多职场人的常态。Windows系统生态完善,软件丰富;而Mac的优雅设计、出色的性能以及稳定的系统体验也让人难以舍弃。但鱼与熊掌不可得兼,两个系统来回切换,需要准备两台电脑,既麻烦又占用空间,还增加了经济负担。如果一台电脑可以同时运行两个操作系......
  • 苹果第一款M4笔记本来了!曝M4 MacBook Pro今年秋季亮相
    MarkGurman爆料,M4MacBookPro、Macmini和iMac将在今年秋季上市,其中M4MacBookPro是苹果第一款M4笔记本。他还提到,MacBookAir、MacStudio和MacPro将在2025年更新,届时也会升级M4芯片。据悉,M4由iPadPro首发搭载,采用了台积电第二代3nm制程工艺(N3E),并配备当前AIPC主流的CPU+GP......
  • windows 获取套接字连接状态
     GetTcpTable 和 GetTcpTable2 都是WindowsAPI中用于获取TCP连接表格的函数,但它们有一些关键的区别:GetTcpTable定义:GetTcpTable 函数用于获取TCP连接的表格信息。结构体:它使用 MIB_TCPTABLE 结构体来表示TCP连接的表格。兼容性:GetTcpTable 是早期的......
  • 面向-Windows-程序员的-C---软件互操作教程-全-
    面向Windows程序员的C++软件互操作教程(全)原文:C++SoftwareInteroperabilityforWindowsProgrammers协议:CCBY-NC-SA4.0一、准备介绍本章介绍了软件互操作性项目。我们先简要了解一下先决条件。接下来是项目概述。最后,我们描述了项目的主要组成部分以及它们是如何组......
  • 【攻防技术系列+权限维持】Windows开机启动项
    一、简介在我们的计算机开机的时候,总是会有一些程序和服务自动启动,这其中包括Windows操作系统运行所必需的程序和其他用户程序。这是操作系统给用户提供的功能,意在为用户开机启动程序提供方便,我们不必每次启动时都手动的打开一些必须打开的程序。二、常见开机启动项2.1启动文......
  • windows xusb21.sys驱动对虚拟手柄个数限制
    由于windows授权限制,云游戏服务器上的windows版本多数为server2019部分游戏用到了手柄,调研后基于https://github.com/nefarius/ViGEmBus来魔改虚拟出84个手柄(一个容器只跑一个游戏,一个游戏独立使用4个手柄,一台云游戏服务器预开21个容器,所以理论至少需要能创建84个手柄)但是实......
  • 推荐一款界面优雅、功能强大的 .NET + Vue 权限管理系统
    前言今天推荐一款用.NET和Vue3实现的开源权限管理系统。它的界面清爽干净,功能强大,还具备灵活的角色权限分配功能,能够满足不同规模企业的管理需求。无论你是开发新手还是大神,都能轻松上手,快速搭建起自己的权限管理体系。别再犹豫了,赶快来试试吧!项目简介Malus是海棠的意思,顾......
  • Windows使用命令行终止任务
    在Windows操作系统中,可以使用命令提示符(cmd)或WindowsPowerShell来查看运行的任务并终止指定的任务。以下是一些常用的命令:使用命令提示符(cmd)查看运行的任务:打开命令提示符,然后输入以下命令:tasklist这个命令会显示所有当前运行的进程及其对应的进程ID(PID)。终止指定的任务:......
  • 一款全能型内网安全扫描工具
    一款全能型内网安全扫描工具精选君 GitHub精选  2024年08月04日19:30 北京 听全文大家好,又见面了,我是GitHub精选君!背景介绍随着信息技术的快速发展,企业内网的复杂程度日益增加,面对潜在的安全威胁,安全检测成为维护内网安全的重要手段。然而,传统的安全检测工具或......