CyberFlow Logo CyberFlow BLOG
Soc L3 Reverse Engineering

DKOM Hooking ve Kernel Nesne Manipülasyonu

✍️ Ahmet BİRKAN 📂 Soc L3 Reverse Engineering

DKOM Hooking ve Kernel Nesne Manipülasyonu konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda blog formatinda ogrenin. Temel akis, kavram eslestirmeleri ve analiz mantigi tek bir yapida birlestirildi.

DKOM Hooking ve Kernel Nesne Manipülasyonu

Direct Kernel Object Manipulation (DKOM), kernel yapılarını doğrudan değiştirerek sistem davranışını manipüle eden gelişmiş bir rootkit tekniğidir. DKOM yöntemleri genellikle API veya SSDT hook kullanmadan çalıştığı için tespiti daha zordur. Reverse engineering sırasında kernel nesneleri ve bağlantılı listeler incelenir.

Giris ve Temel Akis

Direct Kernel Object Manipulation (DKOM), kernel yapılarını doğrudan değiştirerek sistem davranışını manipüle eden gelişmiş bir rootkit tekniğidir. DKOM yöntemleri genellikle API veya SSDT hook kullanmadan çalıştığı için tespiti daha zordur. Reverse engineering sırasında kernel nesneleri ve bağlantılı listeler incelenir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Kernel Nesnesi Bul
  • Yapıyı İncele
  • Liste Bağlantılarını Değiştir
  • Kernel Nesnesini Gizle
  • Sistem Görünümünü Manipüle Et

Temel Kavram Eslesmeleri

DKOM analizlerinde çeşitli kernel yapıları hedef alınabilir.

  • EPROCESS: Süreç bilgilerini tutar
  • ETHREAD: Thread bilgilerini tutar
  • DRIVER_OBJECT: Driver bilgilerini tutar
  • FILE_OBJECT: Dosya nesnelerini temsil eder

Ilk Cekirdek Kavram

Bu bölümde öne çıkan çekirdek kavram EPROCESS olarak verilir. Birçok DKOM rootkit örneği süreç gizlemek amacıyla belirli kernel yapılarını manipüle eder.

Arac, Komut veya Inceleme Akisi

Reverse engineer bir DKOM rootkit analiz ederken kernel nesneleri arasındaki bağlantıları inceler.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Kernel Belleğini İncele
  • Nesneyi Bul
  • Bağlantılı Listeyi İncele
  • Manipülasyonu Tespit Et
  • Davranışı Çözümle

Kanit ve Bilesen Iliskileri

DKOM teknikleri farklı amaçlarla kullanılabilir.

  • Process Hiding: Süreçleri görünmez hale getirme
  • Driver Hiding: Yüklü driver'ları gizleme
  • Thread Hiding: Thread görünürlüğünü kaldırma
  • Token Manipulation: Yetki seviyesini değiştirme

Ikincil Odak Noktasi

Bu bölümde öne çıkan çekirdek kavram ActiveProcessLinks olarak verilir. DKOM rootkit'leri çoğunlukla süreçleri aktif süreç listesinden çıkararak görünmez hale getirir.

Operasyonel Dogrulama ve Raporlama

Süreç gizleme amaçlı DKOM saldırılarında bağlantılı liste manipülasyonu kullanılır.

Bu bölümün pratik akışı şu sırayla ilerler:

  • EPROCESS Bul
  • ActiveProcessLinks Bul
  • Liste Elemanını Çıkar
  • Bağlantıları Güncelle
  • Süreci Gizle

Cikti ve Kullanım Amaci

DKOM analizinde kullanılan araçlar farklı seviyelerde görünürlük sağlar.

  • WinDbg: Kernel belleğini inceleme
  • Volatility: Bellek adli analizi
  • IDA Pro: Rootkit kod analizi
  • Ghidra: Decompiler ile kernel inceleme

Son Kavram ve Cikis

Bu bölümde öne çıkan çekirdek kavram DKOM olarak verilir. DKOM tekniklerinin en önemli özelliği API hook kullanmadan doğrudan kernel nesnelerini değiştirmeleridir.

Bu Egitimden Ne Kazanirsiniz?

Bu icerik, DKOM Hooking ve Kernel Nesne Manipülasyonu konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda parcali degil, butunlu bir ogrenme akisina donusturur. Yalnizca kavramlari ezberlemek yerine surec sirasini, bilesenler arasi iliskiyi ve hangi kanitin neden onemli oldugunu kavramayi hedefler.

Ozet

Bu ders kapsaminda one cikan basliklar: EPROCESS, ETHREAD, DRIVER_OBJECT, FILE_OBJECT, Process Hiding, Driver Hiding, Thread Hiding, Token Manipulation, WinDbg, Volatility. Egitimin mantigi; once temel akis kurmak, sonra eslestirme ve kavram netlestirme yapmak, en sonda ise bulguyu operasyonel bir sonuca baglamaktir.