projectboot/drivershield

## 什么是 DriverShield？ DriverShield 是一个专为 Windows 内核模式驱动程序构建的云端分析平台。上传任意 `.sys` 文件即可获得全面的威胁评估，涵盖代码签名验证、危险 API 使用情况、IOCTL 攻击面、Rootkit 行为检测、已知漏洞匹配以及行为风险评分。 该平台专为需要快速、可靠的驱动程序级分析且无需搭建本地工具链的**安全研究人员**、**SOC 分析师**、**应急响应人员**和**威胁情报团队**而设计。 ## 分析能力 ### 核心引擎 — 14 个分析阶段 | 阶段 | 描述 | |:------|:------------| | **哈希识别** | MD5, SHA1, SHA256 指纹识别及已知哈希查找 | | **PE 头部分析** | COFF 头、节区熵、版本信息、子系统验证 | | **控制流完整性** | CFI/CFG, ASLR, DEP，完整性检查检测及缓解措施评分 | | **代码签名** | Authenticode 验证 — 签名者身份、信任链、有效期 | | **导入分析** | 按风险级别分类的 80 多个内核 API — 标记 Rootkit 和提权攻击中常用的危险函数 | | **IOCTL 提取** | 设备 I/O 控制码，包含威胁分类和已知漏洞标记 | | **YARA 匹配** | 12+ 条内置行为特征规则，针对 Rootkit 模式、进程隐藏、DKOM、SSDT Hook 和 MBR/VBR 操作 | | **VirusTotal** | 自动哈希查询及各引擎检测结果 | | **LOLDrivers** | 与 Living Off The Land Drivers 数据库进行交叉比对 | | **CVE 映射** | 20 多个已知漏洞驱动映射到 CVE 条目及 CVSS 评分 | | **行为分析** | 基于规则的分类器，检测 Rootkit 行为、反 AV 规避、持久化机制和提权模式 | | **符号执行** | 基于 angr 的路径探索与污点分析（可选） | | **Sigma 规则** | 为每个分析的驱动自动生成 6+ 条 SIEM 检测规则 | | **MITRE ATT&CK** | 将驱动行为映射到 16 种 ATT&CK 技术，包括防御规避和权限提升 | ### Rootkit 与隐蔽检测 DriverShield 应用启发式分析来识别内核驱动中的常见 Rootkit 指标： - **直接内核对象操作 (DKOM)** — 检测与进程/线程链表解链相关的模式 - **SSDT / IDT Hooking** — 标记与系统服务描述符表修改相关的导入和代码模式 - **I/O 请求包 (IRP) Hooking** — 识别可能表明拦截行为的文件系统和网络过滤驱动模式 - **注册表回调滥用** — 检测通常用于持久化和隐藏的通知回调注册 - **MBR/VBR 访问模式** — 标记与 Bootkit 相关的低级磁盘访问 - **反取证** — 识别时间戳篡改、日志清除和痕迹移除技术 - **进程与文件隐藏** — 检测与从用户模式工具中隐藏进程、文件或网络连接相关的行为模式 ### 风险评分 动态加权综合评分 (0-100)，包含： ``` VirusTotal (22%) | API Risk (18%) | YARA (14%) | IOCTLs (13%) CVE (10%) | LOLDrivers (9%) | Signatures (5%) | Dynamic (5%) | Packing (4%) ``` 判定结果：**Clean** (0-29) · **Suspicious** (30-59) · **Vulnerable** (60-79) · **Malicious** (80-100) ## API DriverShield 提供 REST API 用于自动化驱动分析工作流。 ### 哈希查询 ``` curl -s "https://drivershield.io/?r=apilookup&sha256=HASH" ``` ### 上传与扫描 ``` curl -X POST "https://drivershield.io/?r=api/upload" \ -H "X-Driver-MD5: YOUR_TOKEN" \ -F "file=@driver.sys" ``` ## 可嵌入徽章 在您的网站或 README 中显示任何驱动的分析状态： ``` ``` ## 使用场景 **应急响应** — 快速评估取证调查中发现的驱动程序是否表现出已知威胁特征或可利用漏洞。 **SOC 分诊** — 通过 API 将哈希查询集成到 SIEM/SOAR 工作流中，以利用风险上下文自动丰富与驱动相关的警报。 **威胁情报** — 跟踪 BYOVD 攻击活动工具，将驱动程序工件映射到 MITRE ATT&CK，并生成 Sigma 检测规则以进行主动防御。 **漏洞研究** — 分析 IOCTL 攻击面、危险的内核 API 使用、与 Rootkit 相关的模式以及缺失的漏洞缓解措施。 **供应链验证** — 在生产环境中部署驱动之前，验证代码签名完整性，对照 LOLDrivers 进行检查，并交叉比对 CVE 数据库。 ## 免责声明 DriverShield 按“原样”提供，仅供参考和研究目的。 分析结果是自动化的启发式评估，**不构成最终的安全判定**、法律意见、专业建议或任何形式的认证。该平台仅执行**静态分析** — 上传的文件从未被执行、运行或引爆。 **预期会出现误报和漏报。** 合法软件（包括杀毒软件、反作弊引擎、硬件监控实用程序和系统管理工具）经常使用可能触发高风险评分的特权内核操作。高分并不意味驱动是恶意的，低分也不能保证驱动是安全的。 用户需全权负责解读结果以及基于结果采取的任何行动。该平台不对任何软件供应商、开发者或组织提出不当行为的指控。风险指标反映的是针对已知威胁特征的自动化模式匹配，并不暗示意图。 用户必须确保拥有提交和分析任何文件的法律权利。DriverShield 不知情且不协助知识产权盗窃、未经授权的逆向工程或任何非法活动。 DriverShield、其开发者及任何相关方不对因使用或无法使用本服务而产生的任何直接、间接、偶然、后果性或特殊损害承担责任，包括但不限于数据丢失、业务中断或声誉损害。 本平台**不能替代**专业的安全审计、渗透测试、代码审查或法律合规性评估。有监管要求的组织应聘请合格的专业人员进行正式评估。 使用 DriverShield 即表示您确认已阅读、理解并同意这些条款。

标签：0day挖掘, ATT&CK映射, BYOVD防御, CFI/CFG, DAST, EDR/XDR, IOCTL分析, SOC工具, .sys文件, Web归档检索, Web报告查看器, Windows内核, 云安全监控, 云资产清单, 代码签名验证, 内核安全, 哈希指纹, 威胁情报, 开发者工具, 恶意软件分析, 漏洞发现, 白帽子, 逆向工程, 速率限制处理, 静态分析, 驱动程序分析