CyberFlow Logo CyberFlow BLOG
Soc L3 Reverse Engineering

Kernel Rootkit Teknikleri ve Hooking Analizi

✍️ Ahmet BİRKAN 📂 Soc L3 Reverse Engineering

Kernel Rootkit Teknikleri ve Hooking Analizi konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda blog formatinda ogrenin. Temel akis, kavram eslestirmeleri ve analiz mantigi tek bir yapida birlestirildi.

Kernel Rootkit Teknikleri ve Hooking Analizi

Kernel rootkit'ler işletim sisteminin çekirdek seviyesinde çalışarak süreçleri, dosyaları, ağ bağlantılarını ve registry kayıtlarını gizleyebilir. Reverse engineering sırasında rootkit'in hangi kernel yapılarını değiştirdiği ve hangi hooking yöntemlerini kullandığı analiz edilir.

Giris ve Temel Akis

Kernel rootkit'ler işletim sisteminin çekirdek seviyesinde çalışarak süreçleri, dosyaları, ağ bağlantılarını ve registry kayıtlarını gizleyebilir. Reverse engineering sırasında rootkit'in hangi kernel yapılarını değiştirdiği ve hangi hooking yöntemlerini kullandığı analiz edilir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Driver Yüklenir
  • Kernel Yapısı Bulunur
  • Hook Yerleştirilir
  • İstek Yakalanır
  • Veri Manipüle Edilir
  • Sonuç Döndürülür

Temel Kavram Eslesmeleri

Kernel rootkit'ler farklı hooking teknikleri kullanabilir.

  • SSDT Hooking: Sistem servis tablosunu değiştirir
  • Inline Hooking: Fonksiyon başlangıcını değiştirir
  • IRP Hooking: Driver isteklerini yakalar
  • Object Callback Hooking: Kernel nesne işlemlerini izler

Ilk Cekirdek Kavram

Bu bölümde öne çıkan çekirdek kavram SSDT olarak verilir. Birçok klasik rootkit sistem çağrılarını ele geçirmek için SSDT üzerinde değişiklik yapardı.

Arac, Komut veya Inceleme Akisi

Reverse engineer bir rootkit analiz ederken sistem çağrılarındaki değişiklikleri takip eder.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Driver Analiz Et
  • Hook Noktasını Bul
  • Orijinal Fonksiyonu Belirle
  • Yeni Adresi İncele
  • Davranışı Çözümle

Kanit ve Bilesen Iliskileri

Kernel rootkit'lerin hedeflediği yapılar farklı amaçlara hizmet eder.

  • SSDT: Sistem çağrılarını yönlendirme
  • IRP Table: Driver iletişimini değiştirme
  • EPROCESS: Süreç gizleme işlemleri
  • Object Callback: Kernel nesne erişimlerini izleme

Ikincil Odak Noktasi

Bu bölümde öne çıkan çekirdek kavram EPROCESS olarak verilir. Kernel rootkit analizlerinde süreç gizleme teknikleri incelenirken EPROCESS yapıları sıkça karşımıza çıkar.

Operasyonel Dogrulama ve Raporlama

Bir rootkit süreç gizlemek için aktif süreç listesini manipüle edebilir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • EPROCESS Bul
  • ActiveProcessLinks Bul
  • Süreci Listeden Çıkar
  • Listeyi Güncelle
  • Süreç Gizlenir

Cikti ve Kullanım Amaci

Kernel rootkit analizinde kullanılan araçlar farklı görünürlük seviyeleri sağlar.

  • WinDbg: Kernel debugging
  • IDA Pro: Kernel driver statik analizi
  • Ghidra: Decompiler ile rootkit analizi
  • GMER: Rootkit tespiti ve inceleme

Son Kavram ve Cikis

Bu bölümde öne çıkan çekirdek kavram SSDT olarak verilir. Kernel rootkit'lerin klasik yöntemlerinden biri sistem çağrılarını kendi kodlarına yönlendirmektir.

Bu Egitimden Ne Kazanirsiniz?

Bu icerik, Kernel Rootkit Teknikleri ve Hooking Analizi konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda parcali degil, butunlu bir ogrenme akisina donusturur. Yalnizca kavramlari ezberlemek yerine surec sirasini, bilesenler arasi iliskiyi ve hangi kanitin neden onemli oldugunu kavramayi hedefler.

Ozet

Bu ders kapsaminda one cikan basliklar: SSDT Hooking, Inline Hooking, IRP Hooking, Object Callback Hooking, SSDT, IRP Table, EPROCESS, Object Callback, WinDbg, IDA Pro. Egitimin mantigi; once temel akis kurmak, sonra eslestirme ve kavram netlestirme yapmak, en sonda ise bulguyu operasyonel bir sonuca baglamaktir.