CyberFlow Logo CyberFlow BLOG
Soc L3 Reverse Engineering

PatchGuard ve Kernel Koruma Mekanizmaları

✍️ Ahmet BİRKAN 📂 Soc L3 Reverse Engineering

PatchGuard ve Kernel Koruma Mekanizmaları konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda blog formatinda ogrenin. Temel akis, kavram eslestirmeleri ve analiz mantigi tek bir yapida birlestirildi.

PatchGuard ve Kernel Koruma Mekanizmaları

PatchGuard (Kernel Patch Protection), Windows x64 sistemlerde kernel yapılarını korumak amacıyla geliştirilmiş bir güvenlik mekanizmasıdır. SSDT, IDT, GDT ve çeşitli kernel veri yapılarında yetkisiz değişiklikler tespit edildiğinde sistemi durdurabilir. Reverse engineering sırasında PatchGuard korumalarının nasıl çalıştığı analiz edilir.

Giris ve Temel Akis

PatchGuard (Kernel Patch Protection), Windows x64 sistemlerde kernel yapılarını korumak amacıyla geliştirilmiş bir güvenlik mekanizmasıdır. SSDT, IDT, GDT ve çeşitli kernel veri yapılarında yetkisiz değişiklikler tespit edildiğinde sistemi durdurabilir. Reverse engineering sırasında PatchGuard korumalarının nasıl çalıştığı analiz edilir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Kernel Yapıları İzlenir
  • Bütünlük Kontrolü Yapılır
  • Yetkisiz Değişiklik Tespit Edilir
  • PatchGuard Tetiklenir
  • Sistem Koruma Mekanizması Çalışır
  • BugCheck Oluşur

Temel Kavram Eslesmeleri

PatchGuard çeşitli kritik kernel yapılarını korur.

  • SSDT: Sistem çağrı tablosunu korur
  • IDT: Interrupt yönlendirmelerini korur
  • GDT: Segment tanımlarını korur
  • Kernel Code: Çekirdek kod bütünlüğünü korur

Ilk Cekirdek Kavram

Bu bölümde öne çıkan çekirdek kavram PatchGuard olarak verilir. Windows x64 sistemlerde kernel veri yapılarının değiştirilmesini önleyen koruma mekanizması bulunmaktadır.

Arac, Komut veya Inceleme Akisi

Reverse engineer bir driver analiz ederken PatchGuard tarafından korunan alanları belirlemeye çalışır.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Driver Analiz Et
  • Kernel Erişimlerini Bul
  • Korunan Yapıları Belirle
  • Manipülasyon Noktalarını İncele
  • Davranışı Çözümle

Kanit ve Bilesen Iliskileri

Kernel koruma mekanizmaları farklı amaçlarla çalışır.

  • PatchGuard: Kernel bütünlüğünü korur
  • Driver Signature Enforcement: İmzalı driver zorunluluğu sağlar
  • Kernel CFG: Kontrol akışını korur
  • HVCI: Bellek bütünlüğünü doğrular

Ikincil Odak Noktasi

Bu bölümde öne çıkan çekirdek kavram BugCheck olarak verilir. PatchGuard ihlal tespit ettiğinde sistem genellikle mavi ekran ile durdurulur.

Operasyonel Dogrulama ve Raporlama

PatchGuard belirli aralıklarla kernel yapılarını doğrulayabilir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Doğrulama Başlat
  • Kernel Yapılarını Oku
  • Hash Hesapla
  • Beklenen Değerle Karşılaştır
  • İhlal Kararı Ver

Cikti ve Kullanım Amaci

PatchGuard analizinde kullanılan araçlar farklı seviyelerde görünürlük sağlar.

  • WinDbg: Kernel debugging
  • IDA Pro: Kernel kod analizi
  • Ghidra: Decompiler ile inceleme
  • KD: Çekirdek hata ayıklama

Son Kavram ve Cikis

Bu bölümde öne çıkan çekirdek kavram Driver Signature Enforcement olarak verilir. Windows sürücü güvenliği kapsamında yalnızca güvenilir sürücülerin yüklenmesini sağlayan bir mekanizma bulunmaktadır.

Bu Egitimden Ne Kazanirsiniz?

Bu icerik, PatchGuard ve Kernel Koruma Mekanizmaları konusunu SOC L3 - Tersine Mühendislik - Anti-Debug ve Kernel Analizi baglaminda parcali degil, butunlu bir ogrenme akisina donusturur. Yalnizca kavramlari ezberlemek yerine surec sirasini, bilesenler arasi iliskiyi ve hangi kanitin neden onemli oldugunu kavramayi hedefler.

Ozet

Bu ders kapsaminda one cikan basliklar: SSDT, IDT, GDT, Kernel Code, PatchGuard, Driver Signature Enforcement, Kernel CFG, HVCI, WinDbg, IDA Pro. Egitimin mantigi; once temel akis kurmak, sonra eslestirme ve kavram netlestirme yapmak, en sonda ise bulguyu operasyonel bir sonuca baglamaktir.