CyberFlow Logo CyberFlow BLOG
Soc L3 Reverse Engineering

Kernel Rootkit Tespiti ve İleri Adli Analiz

✍️ Ahmet BİRKAN 📂 Soc L3 Reverse Engineering

Kernel Rootkit Tespiti ve İleri Adli Analiz konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda blog formatinda ogrenin. Temel akis, kavram eslestirmeleri ve analiz mantigi tek bir yapida birlestirildi.

Kernel Rootkit Tespiti ve İleri Adli Analiz

Kernel rootkit tespiti, çekirdek seviyesinde çalışan zararlı bileşenlerin belirlenmesini amaçlar. Modern rootkit'ler süreçleri, driver'ları, ağ bağlantılarını ve dosyaları gizleyebilir. İleri adli analiz sırasında sistem görünümü ile ham bellek verileri karşılaştırılır.

Giris ve Temel Akis

Kernel rootkit tespiti, çekirdek seviyesinde çalışan zararlı bileşenlerin belirlenmesini amaçlar. Modern rootkit'ler süreçleri, driver'ları, ağ bağlantılarını ve dosyaları gizleyebilir. İleri adli analiz sırasında sistem görünümü ile ham bellek verileri karşılaştırılır.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Bellek İmajı Al
  • Kernel Yapılarını Tara
  • Gizli Nesneleri Ara
  • Tutarsızlıkları Belirle
  • Rootkit İzlerini Topla
  • Rapor Oluştur

Temel Kavram Eslesmeleri

Rootkit analizinde farklı gizleme teknikleri kullanılabilir.

  • DKOM: Kernel nesnelerini doğrudan manipüle eder
  • SSDT Hooking: Sistem çağrılarını yönlendirir
  • IRP Hooking: Driver isteklerini değiştirir
  • Process Hiding: Süreçleri görünmez hale getirir

Ilk Cekirdek Kavram

Bu bölümde öne çıkan çekirdek kavram DKOM olarak verilir. Kernel rootkit'ler çoğu zaman işletim sisteminin normal araçları tarafından görülemeyen süreçler oluşturabilir.

Arac, Komut veya Inceleme Akisi

İleri adli analiz sırasında görünür süreç listesi ile bellek içerisindeki gerçek süreç listesi karşılaştırılır.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Süreç Listesini Al
  • Kernel Nesnelerini Tara
  • EPROCESS Yapılarını Bul
  • Karşılaştırma Yap
  • Gizli Süreçleri Tespit Et

Kanit ve Bilesen Iliskileri

Kernel rootkit analizinde incelenen yapılar farklı bilgiler içerir.

  • EPROCESS: Süreç bilgileri
  • ETHREAD: Thread bilgileri
  • DRIVER_OBJECT: Driver bilgileri
  • OBJECT_DIRECTORY: Kernel nesne referansları

Ikincil Odak Noktasi

Bu bölümde öne çıkan çekirdek kavram EPROCESS olarak verilir. Gizli süreçlerin tespiti sırasında süreç bilgilerini içeren kernel yapıları analiz edilir.

Operasyonel Dogrulama ve Raporlama

Rootkit analizi sırasında şüpheli driver'lar ve callback kayıtları da incelenir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Driverları Listele
  • Callbackleri İncele
  • Hook Noktalarını Ara
  • Anormallikleri Belirle
  • Rootkit Davranışını Çözümle

Cikti ve Kullanım Amaci

İleri kernel adli analizinde kullanılan araçlar farklı yetenekler sunar.

  • Volatility: Bellek adli analizi
  • WinDbg: Kernel debugging
  • GMER: Rootkit tespiti
  • Rekall: Bellek artefact analizi

Son Kavram ve Cikis

Bu bölümde öne çıkan çekirdek kavram Volatility olarak verilir. Kernel rootkit incelemelerinde görünmeyen süreç, driver ve callback kayıtlarını ortaya çıkarmak için bellek analizi yapılır.

Bu Egitimden Ne Kazanirsiniz?

Bu icerik, Kernel Rootkit Tespiti ve İleri Adli Analiz konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda parcali degil, butunlu bir ogrenme akisina donusturur. Yalnizca kavramlari ezberlemek yerine surec sirasini, bilesenler arasi iliskiyi ve hangi kanitin neden onemli oldugunu kavramayi hedefler.

Ozet

Bu ders kapsaminda one cikan basliklar: DKOM, SSDT Hooking, IRP Hooking, Process Hiding, EPROCESS, ETHREAD, DRIVER_OBJECT, OBJECT_DIRECTORY, Volatility, WinDbg. Egitimin mantigi; once temel akis kurmak, sonra eslestirme ve kavram netlestirme yapmak, en sonda ise bulguyu operasyonel bir sonuca baglamaktir.