如何使用Kdrill检测Windows内核中潜在的rootkit

本文主要是介绍如何使用Kdrill检测Windows内核中潜在的rootkit，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

关于Kdrill

Kdrill是一款用于分析 Windows 64b 系统内核空间安全的工具，该工具基于纯Python 3开发，旨在帮助广大研究人员评估Windows内核是否受到了rootkit攻击。

需要注意的是，该项目与Python2/3兼容，无其他依赖组件，无需 Microsoft 符号或网络连接即可执行安全检查。KDrill 还可以分析完整崩溃转储和内核崩溃转储（主要存储在中C:\Windows\MEMORY.DMP）、完整原始内存转储和 AFF4 转储的压缩版本（zip，但不是压缩的）。

功能介绍

Kdrill可以访问物理内存并解码/重建操作系统内部结构来探索它们并验证它们的完整性，并能够执行以下检查：

1、已加载模块列表

2、内存代码中的驱动程序

3、内核对象和内部 ntoskrnl 列表的回调

4、即插即用树和过滤器

5、内核类型回调

6、FltMgr 回调

7、KTimers DPC 函数

8、IRP 驱动程序表

9、驱动程序使用回调签名全局变量

10、NDIS 筛选器和回调NDIS filters and callbacks

11、NetIO/FwpkCLNT 过滤调度

12、设备及其附加的设备对象

13、IDT 条目

14、PatchGuard 初始化和状态

工具要求

Python 3

工具安装

由于该工具基于Python 3开发，因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

接下来，广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/ExaTrack/Kdrill.git

Rootkit示例

Winnti

Winnti替换了 TCPIP 的 NDIS 回调中的函数指针。使用以下cndis命令我们可以识别它：

#>> cndis[*] Checking NDIS Firewall layers[*] List from fffffa80033d3d70Driver      : pacer.sysGUID        : {B5F4D659-7DAA-4565-8E41-BE220ED60542}Description : QoS Packet SchedulerDriver      : wfplwf.sysGUID        : {B70D6460-3635-4D42-B866-B8AB1A24454C}Description : WFP LightWeight Filter[*] Checking NDIS Protocol layers[*] List from fffffa8002a71a60Name : NDIS6FWCallback fffff88003329e50 -> c:\users\toto\appdata\local\temp\tmp1ec3.tmp (not in white list) SUSPICIOUSCallback fffff88003329e50 -> c:\users\toto\appdata\local\temp\tmp1ec3.tmp (not in white list) SUSPICIOUS[...]Name : NDISWANName : WANARPV6Name : WANARPName : TCPIP6TUNNELName : TCPIPTUNNELName : TCPIP6Name : TCPIPCallback fffff8800332a660 -> c:\users\toto\appdata\local\temp\tmp1ec3.tmp (not in white list) SUSPICIOUSCallback fffff8800332a810 -> c:\users\toto\appdata\local\temp\tmp1ec3.tmp (not in white list) SUSPICIOUS

Turla/Uroburos

PspCreateProcessNotifyRoutine 内部的回调：

#>> ccb[*] Checking \Callback\TcpConnectionCallbackTemp : 0xfffffa8002f38360[*] Checking \Callback\TcpTimerStarvationCallbackTemp : 0xfffffa8004dfd640[*] Checking \Callback\LicensingData : 0xfffffa80024bc2f0[*] Checking \Callback\LLTDCallbackRspndr0006000006000000 : 0xfffffa80048713a0[...][*] PspLoadImageNotifyRoutine[*] PspCreateProcessNotifyRoutineCallback fffffa8004bc2874 -> SUSPICIOUS ***Unknown*** 48 89 5c 24 08 57 48 81 ec 30 01 00 00 48 8b fa

该rootkit还在FwpkCLNT中插入了网络IO过滤：

#>> cnetio[*] FwpkCLNT/NetIo Callouts (callbacks) : fffffa8004965000 (4790)Callback fffffa8004bd9580 -> SUSPICIOUS ***Unknown*** 48 8b c4 48 89 58 08 48 89 50 10 55 56 57 41 54Callback fffffa8004bca6b0 -> SUSPICIOUS ***Unknown*** 33 c0 c3 cc 40 53 48 83 ec 20 48 8b 89 50 01 00

工具使用演示

列出模块（带或不带过滤器）：

#>> lm winpfffff806bd4f0000    10000  \??\C:\Kdrill\winpmem_x64.sys

显示特定地址的转储：

#>> dq nt 40FFFFF80668000000  0000000300905A4D 0000FFFF00000004  MZ..........##..FFFFF80668000010  00000000000000B8 0000000000000040  ........@.......FFFFF80668000020  0000000000000000 0000000000000000  ................FFFFF80668000030  0000000000000000 0000011800000000  ................

Kdrill 嵌入了 LDE，以实现最小的 x86 反汇编。你可以使用它来查看操作码的微小细节：

#>> u nt!NtReadFile 10> fffff806685f44d0 | 4c894c2420                       |fffff806685f44d5 | 4c89442418                       |fffff806685f44da | 4889542410                       |fffff806685f44df | 53                               |fffff806685f44e0 | 56                               |fffff806685f44e1 | 57                               |

显示指向地址的转储：

#>> dq poi(nt!LpcPortObjectType)FFFFAA0F7DD524E0  FFFFAA0F7DD524E0 FFFFAA0F7DD524E0  .$.}..##.$.}..##FFFFAA0F7DD524F0  0000000000140012 FFFFD5000BF7DC90  ..............##FFFFAA0F7DD52500  00000000000000F9 0000107C0000002E  ............|...FFFFAA0F7DD52510  0000140B00000F31 000000000000137D  1.......}.......

您可以使用池中的引用来显示数据块Header：

#>> fpool poi(nt!LpcPortObjectType)Pool        : ffffaa0f7dd52470Tag       : ObjTSize      : 150Prev Size : 0

列出对象目录对象：

#>> winobj \CallbackCallback        \Callback\IGD_WNICShareObj  (ffffaa0f8697ae30)Callback        \Callback\WdProcessNotificationCallback  (ffffaa0f7ebf9d30)Callback        \Callback\LLTDCallbackRspndr0006008004000000  (ffffaa0f88872c60)[...]

获取有关内存中随机对象的信息：

#>> !addr ffffaa0f7ed3fb10Pool        : ffffaa0f7ed3fac0Tag       : DeviSize      : 210Prev Size : 0#>> !addr FFFFF80668CFB280fffff80668cfb280 in \SystemRoot\system32\ntoskrnl.exentoskrnl+cfb280

获取页面的 PTE 权限：

#>> list fffff80668cfb280FFFFF80668CFB000 rw--

列出内核内存地址和映射文件之间的关系：

#>> filecacheVacb : ffffaa0f7dde4000 ; size : 60xffffc186e4100000 \Windows\System32\catroot2\edb.log (9684)0xffffc186fb4c0000 \$MapAttributeValue (320)[...]