CyberFlow Logo CyberFlow BLOG
Soc L3 Reverse Engineering

Kernel Debugging ve WinDbg Analizi

✍️ Ahmet BİRKAN 📂 Soc L3 Reverse Engineering

Kernel Debugging ve WinDbg Analizi konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda blog formatinda ogrenin. Temel akis, kavram eslestirmeleri ve analiz mantigi tek bir yapida birlestirildi.

Kernel Debugging ve WinDbg Analizi

Kernel debugging, işletim sistemi çekirdeği ve kernel-mode driver'ların davranışlarını analiz etmek için kullanılan ileri seviye bir tekniktir. WinDbg, Microsoft tarafından geliştirilen ve kernel seviyesinde hata ayıklama yapılmasını sağlayan güçlü bir araçtır.

Giris ve Temel Akis

Kernel debugging, işletim sistemi çekirdeği ve kernel-mode driver'ların davranışlarını analiz etmek için kullanılan ileri seviye bir tekniktir. WinDbg, Microsoft tarafından geliştirilen ve kernel seviyesinde hata ayıklama yapılmasını sağlayan güçlü bir araçtır.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Kernel Debug Bağlantısı Kur
  • Sistem Durumunu İncele
  • Sembolleri Yükle
  • Kernel Yapılarını Analiz Et
  • Breakpoint Yerleştir
  • Akışı İzle

Temel Kavram Eslesmeleri

Kernel debugging sırasında kullanılan temel bileşenler farklı amaçlara hizmet eder.

  • WinDbg: Kernel hata ayıklama aracı
  • KD: Komut satırı kernel debugger
  • Symbol Server: Sembol dosyalarını sağlar
  • Crash Dump: Sistem hata görüntüsü

Ilk Cekirdek Kavram

Bu bölümde öne çıkan çekirdek kavram WinDbg olarak verilir. Kernel seviyesinde hata ayıklama yapmak için Microsoft tarafından geliştirilen resmi araç yaygın olarak kullanılmaktadır.

Arac, Komut veya Inceleme Akisi

Bir reverse engineer WinDbg kullanırken önce sembolleri yükler ve ardından kernel yapılarını incelemeye başlar.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Debugger Başlat
  • Sembol Sunucusunu Ayarla
  • Sembolleri Yükle
  • Kernel Modüllerini Listele
  • Analize Başla

Kanit ve Bilesen Iliskileri

Kernel debugging sırasında sık kullanılan WinDbg komutları bulunmaktadır.

  • !process: Süreçleri görüntüler
  • !thread: Thread bilgilerini gösterir
  • lm: Yüklü modülleri listeler
  • k: Çağrı yığınını görüntüler

Ikincil Odak Noktasi

Bu bölümde öne çıkan çekirdek kavram lm olarak verilir. Kernel debugging sırasında yüklü driver ve modülleri listelemek için özel bir komut kullanılır.

Operasyonel Dogrulama ve Raporlama

Kernel driver analizi sırasında çağrı akışını anlamak için stack incelenir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Breakpoint Tetiklenir
  • Yürütme Durur
  • Stack İncelenir
  • Fonksiyonlar Belirlenir
  • Akış Çözülür

Cikti ve Kullanım Amaci

Kernel debugging analizinde kullanılan veri kaynakları farklı bilgiler sağlar.

  • Crash Dump: Hata anındaki sistem durumu
  • Memory Dump: Bellek içeriği
  • Symbols: Fonksiyon ve yapı isimleri
  • Stack Trace: Fonksiyon çağrı geçmişi

Son Kavram ve Cikis

Bu bölümde öne çıkan çekirdek kavram Stack Trace olarak verilir. Kernel hata analizlerinde hata anındaki çağrı geçmişi incelenerek problemin kaynağı bulunabilir.

Bu Egitimden Ne Kazanirsiniz?

Bu icerik, Kernel Debugging ve WinDbg Analizi konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda parcali degil, butunlu bir ogrenme akisina donusturur. Yalnizca kavramlari ezberlemek yerine surec sirasini, bilesenler arasi iliskiyi ve hangi kanitin neden onemli oldugunu kavramayi hedefler.

Ozet

Bu ders kapsaminda one cikan basliklar: WinDbg, KD, Symbol Server, Crash Dump, !process, !thread, lm, k, Memory Dump, Symbols. Egitimin mantigi; once temel akis kurmak, sonra eslestirme ve kavram netlestirme yapmak, en sonda ise bulguyu operasyonel bir sonuca baglamaktir.