毫无办法，尝试了5个版本，v1.22至v1.3.6都无法进入内核模式！

[0x00MagicKey]

OpenArk Console
Copyright (C) 2019 BlackINT3 https://github.com/BlackINT3/OpenArk
[UNONE::FsReadFileDataW] [WARN] C:\Users\magic_key\AppData\Roaming\OpenArk\console\history.txt is empty file
[UNONE::PsGetProcessInfo64W] [ERR] VirtualOpenProcess pid:4 err:0
[ArkDrvApi::Process::OpenProcess] [ERR] OpenProcess by Kernel pid:4 err:5
[ArkDrvApi::Process::OpenProcessRoot] [ERR] OpenProcess by Kernel pid:4 err:0
[Kernel::InitKernelEntryView::::operator ()] [INFO] 操作系统 : Windows 10
[Kernel::InitKernelEntryView::::operator ()] [INFO] 主版本号 : 10
[Kernel::InitKernelEntryView::::operator ()] [INFO] 副版本号 : 0
[Kernel::InitKernelEntryView::::operator ()] [INFO] 发行编号 : 22H2
[Kernel::InitKernelEntryView::::operator ()] [INFO] 编译号 : 19045
[Kernel::InitKernelEntryView::::operator ()] [INFO] 主服务包 : 0
[Kernel::InitKernelEntryView::::operator ()] [INFO] 副服务包 : 0
[Kernel::InitKernelEntryView::::operator ()] [INFO] R3地址空间 : 0x10000 - 0x7FFFFFFEFFFF
[Kernel::InitKernelEntryView::::operator ()] [INFO] R0地址空间 : 0xFFFF080000000000 - 0xFFFFFFFFFFFFFFFF
[Kernel::InitKernelEntryView::::operator ()] [INFO] 页面大小 : 4 KB
[Kernel::InitKernelEntryView::::operator ()] [INFO] 物理内存 : 16 GB
[Kernel::InitKernelEntryView::::operator ()] [INFO] CPU核数 : 20
[Kernel::InitKernelEntryView::::operator ()] [INFO] 系统根目录 : C:\Windows
[Kernel::InitKernelEntryView::::operator ()] [INFO] 启动时间 : 2024-08-26 03:58:41 (0Day/0Hour/27Min)
[Kernel::InitKernelEntryView::::operator ()] [INFO] BootInfo : UEFI & SecureBoot
[Kernel::InitKernelEntryView::::operator ()] [INFO] HVM : VT Enabled
[OpenArk::onActionCheckUpdate] [INFO] requset server:http://file.blackint3.com:88/openark/version.txt
[OpenArk::onActionCheckUpdate::::operator ()] [INFO] local appver:1.3.6, build:202405222254
[OpenArk::onActionCheckUpdate::::operator ()] [INFO] server responsed:{
"err": 0,
"appver": "1.3.6",
"appbd": "202405222254",
"appcl": "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",
"appurl": "https://github.com/BlackINT3/OpenArk/releases"
}

[OpenArk::onActionCheckUpdate::::operator ()] [INFO] OpenArk is latest.

[AlexAdasCca]

是不是电脑安装了卡巴软件，他的 AntiRootkit 驱动可能会阻止 R3 进程利用 DeviceIoControl 和驱动通信。OpenArk 可能利用签名的 VulnDrivers 绕过系统的驱动强制签名策略加载自身的内核驱动。
禁用卡巴斯基安全防护驱动的步骤：
1）设置>常规>自我保护>取消勾选“启用自动保护”
2）设置中关闭开机时自动启动卡巴斯基安全软件
3）从注册表服务配置将以下服务启动选项调整为手动（Start 值调为 3 手动或者自动延迟启动 2）：
klelam
klupd_klif_arkmon（主要是这个 sys）
注册表配置单元：计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
4）重新启动计算机

[0x00MagicKey]

是不是电脑安装了卡巴软件，他的AntiRootkit驱动可能会阻止R3进程利用DeviceIoControl和驱动通信。OpenArk可能利用签名的VulnDrivers绕过系统的驱动强制签名策略加载自身的内核驱动。 取消卡巴斯基安全防护驱动的步骤： 1）设置>>常规自我保护>取消勾选“启用自动保护” 2）设置中关闭开机时自动启动卡巴斯基安全软件 3）从操作系统服务配置将以下服务启动选项调整为手动（启动值调为3手动或者自动延迟启动 2）： klelam klupd_klif_arkmon（主要是这个sys） 硬盘配置单元：计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 4）重新启动计算机

没有安装卡巴斯基安全软件，甚至Microsoft Defender都是关闭的。

[0x00MagicKey]

最新进展！！！


我尝试把程序放到C盘根目录，成功进入内核模式，看到了所有热键！！！OpenArk，现在可以收藏进我的软件目录下了。
猜测是程序虽然以管理员身份运行，但是并没有获得所有文件读写权限。程序放到C盘，继承c盘的读写权限，程序就不会假死。
这要多亏keil_v541的提示，当你把keil5安装到c盘之外，就会有两行关于文件权限的提醒，关于继承安装目录权限之类的。

[AlexAdasCca]

最新进展！！！ 我尝试把程序放到C盘根目录，成功进入内核模式，看到了所有热键！！！OpenArk，现在可以收藏进我的软件目录下了。 猜测是程序虽然以管理员身份运行，但是并没有获得所有文件读写权限。程序放到C盘，继承c盘的读写权限，程序就不会假死。 这要多亏keil_v541的提示，当你把keil5安装到c盘之外，就会有两行关于文件权限的提醒，关于继承安装目录权限之类的。

非常感谢您分享新的发现和解决方案。