Rootkit Development
[0x00] Updates
아래와 같이 기능이 추가 및 업데이트 되었습니다.
- Process View(Update)
- Process Memory View
- Memory View
- Memory Dump
- Allocate Base Dump
- Process Handle View
- Handle View
- Change handle permissions
- R0 Injector
- Process Memory View
- Monitor View(Update)
- Intercept WriteFile
- Image Notify Monitor
- Kernel View(New)
- Mapping Driver View
- Kernel Memory View
- Disassembly
- Symbol
- Static Menu(New)
- BinWalk
- Find hidden file and auto save
- Mutation Analyzer
- VMP Mutation Fix
- BinWalk
[0x01] Features
-
Process Memory View
- 프로세스 메모리 확인 기능
- 메모리 덤프 기능
- Process Handle View
- 프로세스 내 핸들 확인 기능
- 핸들 권한 변경 기능
- R0 Injector
- DLL Injector(R0)
- DLL Injector(R0)
- Monitor View
- 미니 필터를 이용하여 CLEANUP 을 통한 파일 인터셉트 기능
- 로드되는 드라이버에 대한 모니터링
- 미니 필터를 이용하여 CLEANUP 을 통한 파일 인터셉트 기능
- Kernel View
- Mapping Driver(비공개)
- Kernel Memory View
- 라이브 환경에서 커널 내 메모리 탐색 및 디스어셈블리 기능
- 라이브 환경에서 커널 내 메모리 탐색 및 디스어셈블리 기능
- Static Menu
- 숨겨진 파일 탐색
- VMP Mutation Analyzer
- 숨겨진 파일 탐색
[0x02] Conclusion
이러한 분석 도구를 개발하는 것에 대한 장점은 현재 내가 필요한 기능을 즉각적으로 개발하고 적용할 수 있단 점 입니다. 특히 최근 개발한 Mutation Fix의 기능과 Kernel Memory View 기능의 경우 업무의 효율이 굉장히 올라갔습니다.