Kdrill
Kdrill 是一款用于分析Windows 64b 系统内核空间的工具(已测试从 Windows 7 到 Windows 11)。其主要目的是评估内核是否受到 rootkit 攻击。
该代码与 python2/3 兼容,无依赖性,无需 Microsoft 符号或互联网连接即可执行检查。
对于实时内存/内核分析,使用Winpmem 驱动程序, Kdrill自身与驱动程序交互,另一种可能性是连接到远程 GDB 服务器。KDrill 还可以分析完整崩溃转储和内核崩溃转储(主要存储在 C:WindowsMEMORY.DMP中)以及 AFF4 转储的破解版本(zip,但不是压缩包)。
Kdrill 访问物理内存并解码/重建操作系统内部结构以探索它们并验证其完整性。
将执行以下检查:
- 已加载模块列表
- 内存代码中的驱动程序(与磁盘版本相比)
- 内核对象和内部 ntoskrnl 列表的回调
- 即插即用树和过滤器
- FltMgr 回调
- KTimers DPC 函数
- IRP 驱动程序表
- 驱动程序使用回调签署全局变量
- NDIS 筛选器和回调NDIS filters and callbacks
- NetIO/FwpkCLNT 过滤调度
- 设备及其附加的设备对象
- IDT 条目
- PatchGuard 初始化和状态
项目地址:
https://github.com/ExaTrack/Kdrill?tab=readme-ov-file#internals
原文始发于微信公众号(独眼情报):检查 Windows 内核中的 rootkit 的 Python 工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论