本文主要是介绍如何使用Kdrill检测Windows内核中潜在的rootkit,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
关于Kdrill
Kdrill是一款用于分析 Windows 64b 系统内核空间安全的工具,该工具基于纯Python 3开发,旨在帮助广大研究人员评估Windows内核是否受到了rootkit攻击。
需要注意的是,该项目与Python2/3兼容,无其他依赖组件,无需 Microsoft 符号或网络连接即可执行安全检查。KDrill 还可以分析完整崩溃转储和内核崩溃转储(主要存储在 中C:\Windows\MEMORY.DMP)、完整原始内存转储和 AFF4 转储的压缩版本(zip,但不是压缩的)。
功能介绍
Kdrill可以访问物理内存并解码/重建操作系统内部结构来探索它们并验证它们的完整性,并能够执行以下检查:
1、已加载模块列表
2、内存代码中的驱动程序
3、内核对象和内部 ntoskrnl 列表的回调
4、即插即用树和过滤器
5、内核类型回调
6、FltMgr 回调
7、KTimers DPC 函数
8、IRP 驱动程序表
9、驱动程序使用回调签名全局变量
10、NDIS 筛选器和回调NDIS filters and callbacks
11、NetIO/FwpkCLNT 过滤调度
12、设备及其附加的设备对象
13、IDT 条目
14、PatchGuard 初始化和状态
工具要求
Python 3
工具安装
由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。
接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/ExaTrack/Kdrill.git
Rootkit示例
Winnti
Winnti替换了 TCPIP 的 NDIS 回调中的函数指针。使用以下cndis命令我们可以识别它:
#>> cndis[*] Checking NDIS Firewall layers[*] List from fffffa80033d3d70Driver : pacer.sysGUID : {B5F4D659-7DAA-4565-8E41-BE220ED60542}Description : QoS Packet SchedulerDriver : wfplwf.sysGUID : {B70D6460-3635-4D42-B866-B8AB1A24454C}Description : WFP LightWeight Filter[*] Checking NDIS Protocol layers[*] List from fffffa8002a71a60Name : NDIS6FWCallback fffff88003329e50 -> c:\users\toto\appdata\local\temp\tmp1ec3.tmp (not in white list) SUSPICIOUSCallback fffff88003329e50 -> c:\users\toto\appdata\local\temp\tmp1ec3.tmp (not in white list) SUSPICIOUS[...]Name : NDISWANName : WANARPV6Name : WANARPName : TCPIP6TUNNELName : TCPIPTUNNELName : TCPIP6Name : TCPIPCallback fffff8800332a660 -> c:\users\toto\appdata\local\temp\tmp1ec3.tmp (not in white list) SUSPICIOUSCallback fffff8800332a810 -> c:\users\toto\appdata\local\temp\tmp1ec3.tmp (not in white list) SUSPICIOUS
Turla/Uroburos
PspCreateProcessNotifyRoutine 内部的回调:
#>> ccb[*] Checking \Callback\TcpConnectionCallbackTemp : 0xfffffa8002f38360[*] Checking \Callback\TcpTimerStarvationCallbackTemp : 0xfffffa8004dfd640[*] Checking \Callback\LicensingData : 0xfffffa80024bc2f0[*] Checking \Callback\LLTDCallbackRspndr0006000006000000 : 0xfffffa80048713a0[...][*] PspLoadImageNotifyRoutine[*] PspCreateProcessNotifyRoutineCallback fffffa8004bc2874 -> SUSPICIOUS ***Unknown*** 48 89 5c 24 08 57 48 81 ec 30 01 00 00 48 8b fa
该rootkit还在FwpkCLNT中插入了网络IO过滤:
#>> cnetio[*] FwpkCLNT/NetIo Callouts (callbacks) : fffffa8004965000 (4790)Callback fffffa8004bd9580 -> SUSPICIOUS ***Unknown*** 48 8b c4 48 89 58 08 48 89 50 10 55 56 57 41 54Callback fffffa8004bca6b0 -> SUSPICIOUS ***Unknown*** 33 c0 c3 cc 40 53 48 83 ec 20 48 8b 89 50 01 00
工具使用演示
列出模块(带或不带过滤器):
#>> lm winpfffff806bd4f0000 10000 \??\C:\Kdrill\winpmem_x64.sys
显示特定地址的转储:
#>> dq nt 40FFFFF80668000000 0000000300905A4D 0000FFFF00000004 MZ..........##..FFFFF80668000010 00000000000000B8 0000000000000040 ........@.......FFFFF80668000020 0000000000000000 0000000000000000 ................FFFFF80668000030 0000000000000000 0000011800000000 ................
Kdrill 嵌入了 LDE,以实现最小的 x86 反汇编。你可以使用它来查看操作码的微小细节:
#>> u nt!NtReadFile 10> fffff806685f44d0 | 4c894c2420 |fffff806685f44d5 | 4c89442418 |fffff806685f44da | 4889542410 |fffff806685f44df | 53 |fffff806685f44e0 | 56 |fffff806685f44e1 | 57 |
显示指向地址的转储:
#>> dq poi(nt!LpcPortObjectType)FFFFAA0F7DD524E0 FFFFAA0F7DD524E0 FFFFAA0F7DD524E0 .$.}..##.$.}..##FFFFAA0F7DD524F0 0000000000140012 FFFFD5000BF7DC90 ..............##FFFFAA0F7DD52500 00000000000000F9 0000107C0000002E ............|...FFFFAA0F7DD52510 0000140B00000F31 000000000000137D 1.......}.......
您可以使用池中的引用来显示数据块Header:
#>> fpool poi(nt!LpcPortObjectType)Pool : ffffaa0f7dd52470Tag : ObjTSize : 150Prev Size : 0
列出对象目录对象:
#>> winobj \CallbackCallback \Callback\IGD_WNICShareObj (ffffaa0f8697ae30)Callback \Callback\WdProcessNotificationCallback (ffffaa0f7ebf9d30)Callback \Callback\LLTDCallbackRspndr0006008004000000 (ffffaa0f88872c60)[...]
获取有关内存中随机对象的信息:
#>> !addr ffffaa0f7ed3fb10Pool : ffffaa0f7ed3fac0Tag : DeviSize : 210Prev Size : 0#>> !addr FFFFF80668CFB280fffff80668cfb280 in \SystemRoot\system32\ntoskrnl.exentoskrnl+cfb280
获取页面的 PTE 权限:
#>> list fffff80668cfb280FFFFF80668CFB000 rw--
列出内核内存地址和映射文件之间的关系:
#>> filecacheVacb : ffffaa0f7dde4000 ; size : 60xffffc186e4100000 \Windows\System32\catroot2\edb.log (9684)0xffffc186fb4c0000 \$MapAttributeValue (320)[...]
许可证协议
本项目的开发与发布遵循BSD-3-Clause开源许可协议。
项目地址
Kdrill:【GitHub传送门】
参考资料
GitHub - BeaEngine/lde64: LDE64 (relocatable) source code
WinPmem/src/binaries/winpmem_x64.sys at master · Velocidex/WinPmem · GitHub
这篇关于如何使用Kdrill检测Windows内核中潜在的rootkit的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
