Kdrill是一款用于分析 Windows 64b 系统内核空间安全的工具,该工具基于纯Python 3开发,旨在帮助广大研究人员评估Windows内核是否受到了rootkit攻击。
需要注意的是,该项目与Python2/3兼容,无其他依赖组件,无需 Microsoft 符号或网络连接即可执行安全检查。KDrill 还可以分析完整崩溃转储和内核崩溃转储(主要存储在 中C:\Windows\MEMORY.DMP)、完整原始内存转储和 AFF4 转储的压缩版本(zip,但不是压缩的)。
Kdrill可以访问物理内存并解码/重建操作系统内部结构来探索它们并验证它们的完整性,并能够执行以下检查:
1、已加载模块列表
2、内存代码中的驱动程序
3、内核对象和内部 ntoskrnl 列表的回调
4、即插即用树和过滤器
5、内核类型回调
6、FltMgr 回调
7、KTimers DPC 函数
8、IRP 驱动程序表
9、驱动程序使用回调签名全局变量
10、NDIS 筛选器和回调NDIS filters and callbacks
11、NetIO/FwpkCLNT 过滤调度
12、设备及其附加的设备对象
13、IDT 条目
14、PatchGuard 初始化和状态
Python 3
由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。
接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/ExaTrack/Kdrill.git
Winnti替换了 TCPIP 的 NDIS 回调中的函数指针。使用以下cndis命令我们可以识别它:
#>> cndis [*] Checking NDIS Firewall layers [*] List from fffffa80033d3d70 Driver : pacer.sys GUID : {B5F4D659-7DAA-4565-8E41-BE220ED60542} Description : QoS Packet Scheduler Driver : wfplwf.sys GUID : {B70D6460-3635-4D42-B866-B8AB1A24454C} Description : WFP LightWeight Filter [*] Checking NDIS Protocol layers [*] List from fffffa8002a71a60 Name : NDIS6FW Callback fffff88003329e50 -> c:\users\toto\appdata\local\temp\tmp1ec3.tmp (not in white list) SUSPICIOUS Callback fffff88003329e50 -> c:\users\toto\appdata\local\temp\tmp1ec3.tmp (not in white list) SUSPICIOUS [...] Name : NDISWAN Name : WANARPV6 Name : WANARP Name : TCPIP6TUNNEL Name : TCPIPTUNNEL Name : TCPIP6 Name : TCPIP Callback fffff8800332a660 -> c:\users\toto\appdata\local\temp\tmp1ec3.tmp (not in white list) SUSPICIOUS Callback fffff8800332a810 -> c:\users\toto\appdata\local\temp\tmp1ec3.tmp (not in white list) SUSPICIOUS
PspCreateProcessNotifyRoutine 内部的回调:
#>> ccb [*] Checking \Callback\TcpConnectionCallbackTemp : 0xfffffa8002f38360 [*] Checking \Callback\TcpTimerStarvationCallbackTemp : 0xfffffa8004dfd640 [*] Checking \Callback\LicensingData : 0xfffffa80024bc2f0 [*] Checking \Callback\LLTDCallbackRspndr0006000006000000 : 0xfffffa80048713a0 [...] [*] PspLoadImageNotifyRoutine [*] PspCreateProcessNotifyRoutine Callback fffffa8004bc2874 -> SUSPICIOUS ***Unknown*** 48 89 5c 24 08 57 48 81 ec 30 01 00 00 48 8b fa
该rootkit还在FwpkCLNT中插入了网络IO过滤:
#>> cnetio [*] FwpkCLNT/NetIo Callouts (callbacks) : fffffa8004965000 (4790) Callback fffffa8004bd9580 -> SUSPICIOUS ***Unknown*** 48 8b c4 48 89 58 08 48 89 50 10 55 56 57 41 54 Callback fffffa8004bca6b0 -> SUSPICIOUS ***Unknown*** 33 c0 c3 cc 40 53 48 83 ec 20 48 8b 89 50 01 00
列出模块(带或不带过滤器):
#>> lm winp fffff806bd4f0000 10000 \??\C:\Kdrill\winpmem_x64.sys
显示特定地址的转储:
#>> dq nt 40 FFFFF80668000000 0000000300905A4D 0000FFFF00000004 MZ..........##.. FFFFF80668000010 00000000000000B8 0000000000000040 ........@....... FFFFF80668000020 0000000000000000 0000000000000000 ................ FFFFF80668000030 0000000000000000 0000011800000000 ................
Kdrill 嵌入了 LDE,以实现最小的 x86 反汇编。你可以使用它来查看操作码的微小细节:
#>> u nt!NtReadFile 10 > fffff806685f44d0 | 4c894c2420 | fffff806685f44d5 | 4c89442418 | fffff806685f44da | 4889542410 | fffff806685f44df | 53 | fffff806685f44e0 | 56 | fffff806685f44e1 | 57 |
显示指向地址的转储:
#>> dq poi(nt!LpcPortObjectType) FFFFAA0F7DD524E0 FFFFAA0F7DD524E0 FFFFAA0F7DD524E0 .$.}..##.$.}..## FFFFAA0F7DD524F0 0000000000140012 FFFFD5000BF7DC90 ..............## FFFFAA0F7DD52500 00000000000000F9 0000107C0000002E ............|... FFFFAA0F7DD52510 0000140B00000F31 000000000000137D 1.......}.......
您可以使用池中的引用来显示数据块Header:
#>> fpool poi(nt!LpcPortObjectType) Pool : ffffaa0f7dd52470 Tag : ObjT Size : 150 Prev Size : 0
列出对象目录对象:
#>> winobj \Callback Callback \Callback\IGD_WNICShareObj (ffffaa0f8697ae30) Callback \Callback\WdProcessNotificationCallback (ffffaa0f7ebf9d30) Callback \Callback\LLTDCallbackRspndr0006008004000000 (ffffaa0f88872c60) [...]
获取有关内存中随机对象的信息:
#>> !addr ffffaa0f7ed3fb10 Pool : ffffaa0f7ed3fac0 Tag : Devi Size : 210 Prev Size : 0 #>> !addr FFFFF80668CFB280 fffff80668cfb280 in \SystemRoot\system32\ntoskrnl.exe ntoskrnl+cfb280
获取页面的 PTE 权限:
#>> list fffff80668cfb280 FFFFF80668CFB000 rw--
列出内核内存地址和映射文件之间的关系:
#>> filecache Vacb : ffffaa0f7dde4000 ; size : 6 0xffffc186e4100000 \Windows\System32\catroot2\edb.log (9684) 0xffffc186fb4c0000 \$MapAttributeValue (320) [...]
本项目的开发与发布遵循BSD-3-Clause开源许可协议。
Kdrill:【GitHub传送门】
GitHub - BeaEngine/lde64: LDE64 (relocatable) source code
WinPmem/src/binaries/winpmem_x64.sys at master · Velocidex/WinPmem · GitHub