OpenArk工具库软件

OpenArk软件工具库支持检测快捷键，需要进入内核模式，还可以卸载驱动，主要包含进程、内核、编程助手、扫描器、捆绑器、工具库等，深受不少程序猿的喜爱；尤其是编程助手，支持文字编码、数学计算、常量信息、加密算法和汇编工具等，让大家编程更加简单。

OpenArk软件介绍

OpenArk是Windows平台上的开源Ark工具，支持多种系统内核工具，例如：驱动、回调、过滤器、IDT/SDT WFP等功能，以后会支持更多。支持中文和英文，不用担心看不懂外语。使用二进制(exe)，独立的exe，无DLL依赖，支持32位、64位。Ark是Anti-Rootkit（对抗恶意程序）的简写, OpenArk目标成为逆向工程师、编程人员的工具，同时也能为那些希望清理恶意软件的用户服务，以后也将会支持更多功能和命令。现在也有查看进程、线程、模块、句柄、内存、窗口等信息，提供进程注入器等多种功能。

OpenArk的教程

解压后，根据您的系统，运行对应版本，如2265小编是64位的，就运行OpenArk64.exe文件，就可以直接运行OpenArk工具；

随后，在弹出的软件界面中，我们首先选择其右下角的“进入内核模式”选项；如下图所示。

随后，如果弹出如下图所示的“警告”提示框，直接选择“Yes”即可。

完成上述操作后，如果此时软件右下角所显示的依然是类似于上上图中的“进入内核模式”，则可以重新点击一次这个“进入内核模式”选项。

随后，对于Windows 11电脑而言，还有可能会出现如下图所示的“是否禁用HVCI安全功能”的提示。这个HVCI就是“基于虚拟化的代码完整性保护”，也被称作“内存完整性”，是一种保护电脑安全的设置；其在Windows 11中一般情况下是开启的。为了正常使用OpenArk工具，需要暂时关闭这个HVCI，所以这里选择“是”即可。

随后，会出现如下图所示的“是否重启系统”的提示。我发现，这里无论是选择“Yes”还是“No”，都不会重启电脑；但不管怎么样，我们都先选择“No”。

之所以前一个步骤选择了“No”，是因为此时我们需要手动到电脑的Windows 安全中心中，再检查一下这个HVCI到底有没有被关闭（因为我在实践过程中，发现OpenArk工具似乎有时不会成功地自行关闭HVCI）；如下图所示，进入安全中心后，选择“设备安全性”选项。

随后，进入“内核隔离详细信息”选项，如下图所示。

接下来，确保“内存完整性”这个勾选框是关闭的状态，如下图所示。

随后，重启电脑，并重新打开OpenArk工具，再点击其右下角的“进入内核模式”选项。如果没有问题的话，此时就可以成功进入内核模式了；进入后OpenArk工具的右下角就会变成如下图所示的样子。

随后，在工具左侧选择“系统热键”，如下图所示。

随后，即可在工具右侧看到电脑中的全部快捷键；如下图所示，我们可以按照“热键”升序或降序对这些快捷键加以排序，从而方便我们找到自己想要的快捷键。

对于任何一个快捷键，我们在其上方右键，即可对其执行相关操作；例如，可以通过“删除热键”选项，将这个快捷键删除，如下图所示。

完成所需操作后，记得在OpenArk工具右下角点击一下“退出内核模式”选项，如下图所示。

随后，可以重新回到Windows 安全中心中，将刚刚关闭的HVCI再打开（其实打不打开都可以，据说这个HVCI开启后反而还会对电脑性能有影响；所以具体还要不要打开，看大家的实际需要就好）。

OpenArk工具库功能

进程：查看进程、线程、模块、句柄、内存、窗口等信息，提供进程注入器等功能。

扫描器：PE文件解析器，以后会变成病毒分析助手。

捆绑器：目录和多个程序可以捆绑成一个exe程序，同时支持脚本。

控制台：这里有很多有用的命令。

内核：系统内核工具，例如：驱动、回调、过滤器、IDT/SDT WFP等功能，以后会支持更多。

编程助手：程序员的工具箱。

产品特色

内核管理器：OpenArk 具备内核管理器功能，能够深度检测操作系统内核，发现潜在的恶意软件。

进程杀死：这款工具支持进程杀死功能，能够快速定位并清除恶意进程。

线程模块注入：OpenArk 可以分析线程模块，发现并处理异常模块。

PE 文件解析：支持 PE 文件解析，便于分析文件结构和功能。

驱动程序分析：该工具可以分析驱动程序的动态链接库，识别异常驱动程序并进行处理。

内存/存储检测：OpenArk可以扫描系统内存和存储设备，查找异常数据和恶意软件。

使用帮助

1、依赖

UNONE & KNONE - 应用层&内核层基础库

Qt 5.6.2 - GUI开发框架

2、支持的操作系统

Windows XP/2003/Vista/7/2008/8/8.1/2012/10/2016/2019

3、支持的编译器

Visual Studio 2015/2017/2019

4、发布

二进制 (exe)

独立的exe，无DLL依赖，支持32位、64位。

如何编译

1、先要安装UNONE静态库Nuget包，例如VS2015：vs2015-unone.nupkg。

2、安装Qt静态库。

3、编译即可，目前支持VS2015工程开发。

更新日志

优化内核模式以及ELF扫描功能支持文件编辑等

BUG修复、稳定性增强以及许多未提及的功能

进程管理增加PID暴力搜索，列表清除、服务定位等功能

内存搜索支持显示模块区域，内存编辑支持更多语法