如何使用Kdrill检测Windows内核中潜在的rootkit

文章预览

关于Kdrill Kdrill是一款用于分析 Windows 64b 系统内核空间安全的工具，该工具基于纯Python 3开发，旨在帮助广大研究人员评估Windows内核是否受到了rootkit攻击。 需要注意的是，该项目与Python2/3兼容，无其他依赖组件，无需 Microsoft 符号或网络连接即可执行安全检查。KDrill 还可以分析完整崩溃转储和内核崩溃转储（主要存储在 中C:\Windows\MEMORY.DMP）、完整原始内存转储和 AFF4 转储的压缩版本（zip，但不是压缩的）。 功能介绍 Kdrill可以访问物理内存并解码/重建操作系统内部结构来探索它们并验证它们的完整性，并能够执行以下检查： 1、已加载模块列表 2、内存代码中的驱动程序 3、内核对象和内部 ntoskrnl 列表的回调 4、即插即用树和过滤器 5、内核类型回调 6、FltMgr 回调 7、KTimers DPC 函数 8、IRP 驱动程序表 9、驱动程序使用回调签名全局变量 10、NDIS 筛选器 ………………………………