首页 > 系统相关 >如何使用Kdrill检测Windows内核中潜在的rootkit

如何使用Kdrill检测Windows内核中潜在的rootkit

时间:2024-08-26 19:55:27浏览次数:12  
标签:Name 48 Callback Kdrill SUSPICIOUS 转储 Windows rootkit

关于Kdrill

Kdrill是一款用于分析 Windows 64b 系统内核空间安全的工具,该工具基于纯Python 3开发,旨在帮助广大研究人员评估Windows内核是否受到了rootkit攻击。

需要注意的是,该项目与Python2/3兼容,无其他依赖组件,无需 Microsoft 符号或网络连接即可执行安全检查。KDrill 还可以分析完整崩溃转储和内核崩溃转储(主要存储在 中C:\Windows\MEMORY.DMP)、完整原始内存转储和 AFF4 转储的压缩版本(zip,但不是压缩的)。

功能介绍

Kdrill可以访问物理内存并解码/重建操作系统内部结构来探索它们并验证它们的完整性,并能够执行以下检查:

1、已加载模块列表

2、内存代码中的驱动程序

3、内核对象和内部 ntoskrnl 列表的回调

4、即插即用树和过滤器

5、内核类型回调

6、FltMgr 回调

7、KTimers DPC 函数

8、IRP 驱动程序表

9、驱动程序使用回调签名全局变量

10、NDIS 筛选器和回调NDIS filters and callbacks

11、NetIO/FwpkCLNT 过滤调度

12、设备及其附加的设备对象

13、IDT 条目

14、PatchGuard 初始化和状态

工具要求

Python 3

工具安装

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/ExaTrack/Kdrill.git

Rootkit示例

Winnti

Winnti替换了 TCPIP 的 NDIS 回调中的函数指针。使用以下cndis命令我们可以识别它:

#>> cndis

 [*] Checking NDIS Firewall layers

  [*] List from fffffa80033d3d70

    Driver      : pacer.sys

    GUID        : {B5F4D659-7DAA-4565-8E41-BE220ED60542}

    Description : QoS Packet Scheduler

    Driver      : wfplwf.sys

    GUID        : {B70D6460-3635-4D42-B866-B8AB1A24454C}

    Description : WFP LightWeight Filter

 [*] Checking NDIS Protocol layers

  [*] List from fffffa8002a71a60

    Name : NDIS6FW

  Callback fffff88003329e50 -> c:\users\toto\appdata\local\temp\tmp1ec3.tmp (not in white list) SUSPICIOUS

  Callback fffff88003329e50 -> c:\users\toto\appdata\local\temp\tmp1ec3.tmp (not in white list) SUSPICIOUS

[...]

    Name : NDISWAN

    Name : WANARPV6

    Name : WANARP

    Name : TCPIP6TUNNEL

    Name : TCPIPTUNNEL

    Name : TCPIP6

    Name : TCPIP

  Callback fffff8800332a660 -> c:\users\toto\appdata\local\temp\tmp1ec3.tmp (not in white list) SUSPICIOUS

  Callback fffff8800332a810 -> c:\users\toto\appdata\local\temp\tmp1ec3.tmp (not in white list) SUSPICIOUS

Turla/Uroburos

PspCreateProcessNotifyRoutine 内部的回调:

#>> ccb

  [*] Checking \Callback\TcpConnectionCallbackTemp : 0xfffffa8002f38360

  [*] Checking \Callback\TcpTimerStarvationCallbackTemp : 0xfffffa8004dfd640

  [*] Checking \Callback\LicensingData : 0xfffffa80024bc2f0

  [*] Checking \Callback\LLTDCallbackRspndr0006000006000000 : 0xfffffa80048713a0

[...]

 [*] PspLoadImageNotifyRoutine

 [*] PspCreateProcessNotifyRoutine

  Callback fffffa8004bc2874 -> SUSPICIOUS ***Unknown*** 48 89 5c 24 08 57 48 81 ec 30 01 00 00 48 8b fa

该rootkit还在FwpkCLNT中插入了网络IO过滤:

#>> cnetio

  [*] FwpkCLNT/NetIo Callouts (callbacks) : fffffa8004965000 (4790)

  Callback fffffa8004bd9580 -> SUSPICIOUS ***Unknown*** 48 8b c4 48 89 58 08 48 89 50 10 55 56 57 41 54

  Callback fffffa8004bca6b0 -> SUSPICIOUS ***Unknown*** 33 c0 c3 cc 40 53 48 83 ec 20 48 8b 89 50 01 00

工具使用演示

列出模块(带或不带过滤器):

#>> lm winp

 fffff806bd4f0000    10000  \??\C:\Kdrill\winpmem_x64.sys

显示特定地址的转储:

#>> dq nt 40

 FFFFF80668000000  0000000300905A4D 0000FFFF00000004  MZ..........##..

 FFFFF80668000010  00000000000000B8 0000000000000040  ........@.......

 FFFFF80668000020  0000000000000000 0000000000000000  ................

 FFFFF80668000030  0000000000000000 0000011800000000  ................

Kdrill 嵌入了 LDE,以实现最小的 x86 反汇编。你可以使用它来查看操作码的微小细节:

#>> u nt!NtReadFile 10

> fffff806685f44d0 | 4c894c2420                       |

  fffff806685f44d5 | 4c89442418                       |

  fffff806685f44da | 4889542410                       |

  fffff806685f44df | 53                               |

  fffff806685f44e0 | 56                               |

  fffff806685f44e1 | 57                               |

显示指向地址的转储:

#>> dq poi(nt!LpcPortObjectType)

 FFFFAA0F7DD524E0  FFFFAA0F7DD524E0 FFFFAA0F7DD524E0  .$.}..##.$.}..##

 FFFFAA0F7DD524F0  0000000000140012 FFFFD5000BF7DC90  ..............##

 FFFFAA0F7DD52500  00000000000000F9 0000107C0000002E  ............|...

 FFFFAA0F7DD52510  0000140B00000F31 000000000000137D  1.......}.......

您可以使用池中的引用来显示数据块Header:

#>> fpool poi(nt!LpcPortObjectType)

Pool        : ffffaa0f7dd52470

  Tag       : ObjT

  Size      : 150

  Prev Size : 0

列出对象目录对象:

#>> winobj \Callback

 Callback        \Callback\IGD_WNICShareObj  (ffffaa0f8697ae30)

 Callback        \Callback\WdProcessNotificationCallback  (ffffaa0f7ebf9d30)

 Callback        \Callback\LLTDCallbackRspndr0006008004000000  (ffffaa0f88872c60)

[...]

获取有关内存中随机对象的信息:

#>> !addr ffffaa0f7ed3fb10

Pool        : ffffaa0f7ed3fac0

  Tag       : Devi

  Size      : 210

  Prev Size : 0

#>> !addr FFFFF80668CFB280

fffff80668cfb280 in \SystemRoot\system32\ntoskrnl.exe

ntoskrnl+cfb280

获取页面的 PTE 权限:

#>> list fffff80668cfb280

    FFFFF80668CFB000 rw--

列出内核内存地址和映射文件之间的关系:

#>> filecache

Vacb : ffffaa0f7dde4000 ; size : 6

0xffffc186e4100000 \Windows\System32\catroot2\edb.log (9684)

0xffffc186fb4c0000 \$MapAttributeValue (320)

[...]

许可证协议

本项目的开发与发布遵循BSD-3-Clause开源许可协议。

项目地址

Kdrill:【GitHub传送门

参考资料

GitHub - BeaEngine/lde64: LDE64 (relocatable) source code

WinPmem/src/binaries/winpmem_x64.sys at master · Velocidex/WinPmem · GitHub

标签:Name,48,Callback,Kdrill,SUSPICIOUS,转储,Windows,rootkit
From: https://blog.csdn.net/FreeBuf_/article/details/141572106

相关文章

  • 大白话【8】WindowsServer2016搭建DNS服务
    1.DNS服务功能介绍2.DNS服务器搭建2.0准备环境2.1把该DNS服务器设置成静态IP2.2修改主机名(可省略)2.3安装DNS服务DNS服务器名为www;IP为192.168.2.1003.客户机测试在网内可网络连通的客户机如何验证DNS服务器域名解析有效性?3.1可以ping不通,只要看到解析就行。......
  • Windows恢复受阻?reagenttask.dll丢失的诊断与修复全流程
    reagenttask.dll是一个与Windows操作系统相关的动态链接库(DLL)文件,通常与Windows恢复环境(WindowsRecoveryEnvironment,RE)的功能实现有关。这个DLL文件可能包含了处理恢复环境内部逻辑、资源管理和与其他恢复组件交互等功能所需的函数和资源,对于确保Windows恢复环境的正常运......
  • 大白话【7】windows server2016共享目录配置
    1.windows权限模型案列共享目录搭建过程1.创建共享目录2.为人力资源部,销售部,IT部,等创建工作组3.创建用户关联用户组4.修改共享目录权限,允许xx工作组用户进入目录5.根据需求设置XX目录权限6.开启目录共享打开本地用户和组Win+R 输入lusrmgr.msc引申-普通用户想要使......
  • 【Win 10/Win 11】【Foxmail】解决Foxmail邮件客户端安装在Windows系统下Program File
    虽然到目前(2024/08)Foxmail邮件客户端已经有一段时间没有更新了,但它仍不失为Windows操作系统下好用的邮件客户端之一。笔者在安装Foxmail时将默认路径设置为了D:\ProgramFiles\,而Windows10和Windows11对于分区根目录下ProgramFiles,ProgramFile(x86)等文件夹有特殊的权限限制,......
  • 小白之 FastGPT Windows 本地化部署
    目录引言环境步骤1.安装docker2.启动docker3.浏览器访问4.OneAPI配置语言模型、向量模型渠道和令牌5.创建FastGPT知识库6.创建FastGPT应用官方文档引言部署之前可以先看一下RAG技术原理,也可以后面回过头来看,对一些概念有些了解,对部署的内容会有更好......
  • windows vscode平台配置C++环境
    背景: windows系统,下载vscode1.安装编译器https://github.com/msys2/msys2-installer/releases/2. 安装所需编译工具 自动打开mysys2终端后:#官方提供指令pacman-Smingw-w64-ucrt-x86_64-gcc#推荐指令pacman-S--neededbase-develmingw-w64-ucrt-x86_64-t......
  • Windows提权方式汇总
    windows提权一、土豆(potato)家族提权原理土豆提权就是通过windows的COM(ComponentObjectModel,组件对象模型)类。向指定的服务器端口发送NTLM认证,捕获认证数据包,并修改数据包内容使其认证成功,从而获得system权限的token。在通过高权限的令牌执行反弹shell的命令,获取高......
  • [原创]Windows X64汇编入门(1)
    [原创]WindowsX64汇编入门(1)[原创]WindowsX64汇编入门(1)WindowsX64汇编入门(1)tankaiha  最近断断续续接触了些64位汇编的知识,这里小结一下,一是阶段学习的回顾,二是希望对64位汇编新手有所帮助。我也是刚接触这方面知识,文中肯定有错误之处,大家多指正。文章的标......
  • tips in windows/ 1.windows文件路径最长限制
    1.windows文件路径最长限制场景:在用文件资源管理器删除名称超过255字符的文件(文件名最大字符限制就是255)时,发现删除不了,也没反应原因:windows删除调用的是explorer,对路径限制不能超过260,此时超过了,但又由于是应用层,所以不会直接给以报错。使用杀毒软件可以是因为他们调用的是......
  • Windows系统安装MySQL
    在Windows中安装mysql不够幸运的话,会遇到相当多的坑,当然这也算是一种财富吧,让自己碰到问题去查找解决方案。有时候不是一时半会就可以解决的。有同学说过安装mysql安装两天还没有装上。不用担心,我安装mysql用了一天吧,下面记录下来安装过程及可能遇到的问题。工欲善其事,必先利其......