文章总结： DarkArk是一款新一代WindowsAnti-Rootkit工具，专为安全研究人员与逆向工程师设计。该工具整合了成熟的反Rootkit技术，具备进程与驱动枚举、内核钩子检测、系统回调监控、内存扫描及网络监控等核心功能，能有效发现隐藏的恶意软件、Rootkit及可疑驱动。此外，它支持EDR/AV对抗测试与PPL查看，为系统安全分析提供了深度的底层视图与可操作的检测能力。 综合评分： 74 文章分类： 安全工具,恶意软件,逆向分析,终端安全

DarkArk——Windows ARK工具

一个人挺好 一个人挺好

一个人挺好 wa

2026年3月3日 10:55 上海

项目地址

https://github.com/baiyies/DarkArk

解压密码：2026

DarkArk是一款Windows Anti-Rootkit(ARK)工具，DarkArk属于新一代ARK工具，参考并整合了多种成熟的反Rootkit技术思路，旨在为安全研究人员、逆向工程师以及系统管理员提供深度的系统安全检测能力。

核心功能

• 恶意软件检测：发现并定位隐藏的Rootkit、木马及恶意驱动

• 系统安全分析：提供内核级系统状态监控与分析能力

• 安全研究辅助：为逆向工程和漏洞研究提供底层系统视图

• EDR/AV对抗测试：用于安全产品的功能验证与绕过技术研究

功能特性

• 进程枚举：遍历系统所有进程，包括被Rootkit隐藏的进程

• 线程分析：查看进程内所有线程的详细状态与调用栈

• 模块查看：列出进程加载的所有DLL模块及其属性

• 句柄表：分析进程打开的句柄（文件、注册表、事件等）

• 内存映射：查看进程虚拟地址空间的内存分布

• Token信息：检查进程的安全令牌与权限

• 内存扫描：检测进程内存中的可疑代码片段

• PPL支持：查看受保护进程轻量级（PPL）状态

驱动管理 (Driver Management)

• 驱动枚举：列出所有已加载的内核驱动程序
• 签名验证：检查驱动的数字签名状态
• 隐藏驱动检测：发现未链接到PsLoadedModuleList的驱动
• 驱动卸载：支持强制卸载可疑驱动（需谨慎使用）

系统回调监控 (System Callbacks)

监控Rootkit常用的系统回调注册点：

表格

| 回调类型 | 检测目标 | 技术原理 | | — | — | — | | 进程创建回调 | 恶意进程监控 | PsSetCreateProcessNotifyRoutine | | 镜像加载回调 | DLL注入检测 | PsSetLoadImageNotifyRoutine | | 注册表回调 | 注册表劫持 | CmRegisterCallback | | 文件系统回调 | 文件隐藏 | FltRegisterFilter |

内核钩子检测 (Kernel Hook Detection)

• SSDT钩子检测：检查系统服务描述符表（System Service Descriptor Table）的完整性
• IDT钩子检测：分析中断描述符表（Interrupt Descriptor Table）
• IAT钩子检测：验证驱动导入地址表
• IRP钩子检测：检查驱动对象的IRP分发函数
• 内联钩子检测：通过对比原始文件与内存映像发现代码篡改

其他内核功能

• 热键管理：查看注册的全局热键
• 过滤驱动分析：检查文件系统、网络过滤驱动
• IDT/SDT/NDIS/WFP：底层系统表与网络过滤平台分析

内存扫描模块 (Memory Scanner)

基于Yara规则或特征码的内存扫描能力：

• 进程内存扫描：扫描特定进程的内存区域
• 内核内存扫描：检测内核空间中的恶意代码
• 特征匹配：支持自定义签名检测
• 启发式分析：基于行为模式的异常检测

网络监控模块 (Network Monitoring)

• TCP/UDP连接：查看所有网络连接状态
• 隐藏端口检测：发现被Rootkit隐藏的网络通信
• 进程关联：将网络连接与所属进程关联

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：一个人挺好 wa 一个人挺好 一个人挺好《DarkArk——Windows ARK工具》