ARKit下载地址

一包，包含一个库，公开各种方法来扫描系统，检测rootkit和设备驱动程序的实现方法，扫描和检测rootkit

ARKit是一个开放源码的rootkit检测库，它由两部分组成：
ARKitLib.lib - 一个Win32 / C + +静态库，公开各种方法来扫描系统和检测的神器出山:www.shenqi73.comrootkit
ARKitDrv.sys - 设备驱动程序，真正实现方法，扫描和检测rootkit

过程检测方法：
PID蛮力（PsLookupProcessByProcessId）
工业贸易署蛮力（PsLookupThreadByThreadId）
句柄表运行（NtQuerySystemInformation）

DLL的检测方法：
InMemoryOrderModuleList遍历进程的PEB
VAD树行走

进程的终止方法：
NtTerminateProcess / ZwTerminateProcess
一个进程的所有线程的NtTerminateThread / ZwTerminateThread

驱动程序的检测方法：
PsLoadedModuleList穿越
\驱动程序\目录遍历对象管理器
在\ Device \目录遍历对象管理器

使用ARKit库是非常简单的：
包括ARKitLib.h和ARKitDefines.h头文件在您的应用程序源代码
链接ARKitLib.lib和Psapi.lib的
的ARKitLib类实例化一个对象，并使用不同的成员函数来收集系统数据
在运行应用程序，确保，ARKitDrv.sys驱动器是在同一个应用程序的目录。

下面是一些主要特点“ARKit”：

·进程扫描检测所有正在运行的进程（隐藏和可见的）
·DLL扫描检测过程中加载的DLL
·驱动器扫描检测所有加载的驱动程序（隐藏和可见）
·SSDT钩子检测和恢复
·勾检测SYSENTER
·核心内嵌挂机检测和恢复