Исходник Софт Sentinel Monitor v2.0 - System Informer на стероидах: OEP Finder, Auto Unpacker, Kernel Callback Disabler

[loverkis]

Sentinel Monitor это модифицированный форк System Informer (бывший Process Hacker), допиленный специально под задачи реверсинга, анпакинга и обхода защит. От оригинала остался весь функционал продвинутого таск-менеджера с ядерным драйвером (KSystemInformer → Driver.sys), но сверху накручен жирный слой RE-утилит, которых нет в ванильной сборке.

Экзешник переименован в kernel.exe, манифест - Sentinel Monitor, так что на простые сигнатуры по имени процесса / window title оно не палится.

---

Что под капотом (вся база System Informer)

• Полное дерево процессов, потоков, хендлов, модулей, мемори-регионов
• Ядерный драйвер для доступа к защищённым процессам (обход PPL, защищённых хендлов)
• Services / network / GPU / disk / тонны плагинов (ExtendedTools, NetworkTools, HardwareDevices, WindowExplorer, DotNetTools, OnlineChecks и т.д.)
• MiniDump процессов

Что ДОБАВИЛИ поверх (самое вкусное)

Спойлер: OEP Finder - Original Entry Point Detection

• Автопоиск оригинальной точки входа для запакованных бинарей
• Поддержка паттернов: Tail JMP, POPAD + JMP, POPAD + RET (OEP на стеке), function prologue after unpacker
• Показывает confidence, entropy, imports
• Копирование адреса OEP в буфер
• Советы: "Set hardware BP at OEP", "Dump at OEP with Scylla", "Dump + fix IAT with Scylla"

Спойлер: Packer / Protector Detection

Детект и классификация:

• Themida 2.x / 3.x (SecureEngine, Oreans)
• VMProtect
• WinLicense 3.x
• Enigma Protector
• ASProtect
• UPX
• BoxedApp
• Generic / Overlay / Demo Scene / Size-optimized packers
• Unknown Packer/Crypter (по энтропии и структуре секций)

Для каждого - оценка сложности (EASY / HARD / EXTREME - VM-based) и конкретные советы по анпаку.

Спойлер: Auto Unpacker

[*] Starting automated unpacking process...
[*] Detecting Original Entry Point...
[+] OEP found at 0x... (Confidence: 95%)
[*] Dumping process memory...
[+] Dumped to: ...
[+] IAT reconstruction OK — dump should be RUNNABLE

Встроенный VMPUnpacker под VMP 2.x/3.x, авто-реконструкция IAT, дамп в файл.

Спойлер: Anti-Debug Bypass (Continuous)

Пачит и мониторит:

• IsDebuggerPresent, CheckRemoteDebuggerPresent
• Timing-based detection
• Debugger window detection
• ThreadHideFromDebugger
• Handle close detection
• VEH-based detection
• Hidden thread creation

Режим Continuous непрерывно репачит чеки пока активна сессия.

Спойлер: Code Integrity Bypass

• Инжект неподписанных DLL в защищённые процессы
• Свободный патчинг памяти (RWX)
• Снятие Memory Protection с регионов

Спойлер: Kernel Callback Disabler

Сносит kernel callbacks у анти-чит / антитамперных драйверов. WARNING: This may destabilize some anti-cheat/anti-tamper software!

Спойлер: Process Isolation Bypass

Закрытие protection mutex/event хендлов, отключение изоляции процесса, обход блокировок со стороны защитного ПО.

Спойлер: Memory Scanner (Cheat Engine style)

• First Scan / Next Scan
• Поиск по значению
• AOB паттерны с wildcards: 48 8B ?? ?? 74 05
• Write Detection

Спойлер: Hook Detection

Скан модулей процесса на:

• Inline Hooks
• IAT Hooks
• EAT Hooks

С полной статистикой и списком перехваченных функций.

Спойлер: Code Cave Finder

Поиск code caves под хук/патч. Умеет предупреждать, что в протект бинарке кейвы зашифрованы и нужно сначала дампить процесс.

Спойлер: License Check Scanner

Детект обращений к известным license API: Sellix, Whop, Gumroad, Lemonsqueezy, Paddle, Cryptlex, Keygen.sh, кастомные /api/license, /license/verify и т.д. Сразу предлагает, куда поставить пач.

Спойлер: Прочее

• Anti-BSOD Protection (чтобы EAC и прочие не уронили систему при работе с драйвером)
• Stealth Mode
• DLL Injection (обычная + unsigned через Code Integrity Bypass)
• VirusTotal интеграция (свой API key в настройках)
• Поддержка всех стандартных плагинов Process Hacker / System Informer

Системные требования

• Windows 10 / 11 x64 (минимум Win10)
• Права администратора (иначе драйвер не поднимется, RE-фичи работать не будут)
• Желательно отключить HVCI/VBS, если драйвер не грузится

Запуск

1. Распаковать в любую папку (NTFS, без русских букв)
2. Запустить kernel.exe от администратора
3. Проверить, что драйвер стартанул: Hacker → View Driver (или просто открыть любой защищённый процесс)
4. Все RE-фичи живут в контекстном меню процесса → Tools / Analysis

---

Важно

• На машинах с активным античитом (EAC, BattlEye, Vanguard, FACEIT) загрузка такого драйвера = гарантированный бан. Юзаем на тестовой виртуалке / чистой системе / с VM-детектом на уме.
• "Unload driver" / "Unload module" на продакшен-процессах могут положить систему. Предупреждение в самом тулсе не просто так.
• VT скан кидайте сами перед запуском, если параноите - сурсов я не прикладываю, это не мой билд.

---

Видео

• Видео:

Ссылка

https://www.upload.ee/files/19076043/kernel22.rar.html

---

Билд не мой, нашёл в сети, делюсь.