diabloidyobane/kernel-driver-hunt

# yara-kernel-driver-hunt YARA 规则 + MalwareBazaar 猎手，用于**小 footprint 的内核读写驱动程序** —— 这类 `.sys` 文件向用户模式辅助程序暴露了跨进程内存读写和物理内存映射原语。 这种能力特征在多种用例中反复出现（DMA/诊断辅助工具、EDR 绕过工具、跨进程内省驱动程序），因此这些规则对于针对基于驱动程序的后渗透工具进行通用威胁狩猎非常有用。 ## 能力指纹，而非家族归因 这些规则并不试图识别任何特定的命名家族。它们识别的是一种**能力特征**： 1. PE、原生子系统、x64 —— 即内核驱动程序 2. 导入 `KeStackAttachProcess` + `MmCopyVirtualMemory`（跨进程 R/W） 3. 导入 `MmMapIoSpaceEx` / `MmGetPhysicalMemoryRanges` / `MmGetVirtualForPhysical`（物理内存映射 —— 绕过 VA 级别的内核回调挂钩） 4. 导入 `IoCreateDriver`（兼容手动映射的入口存根） 5. 体积小（`<200 KB`）—— 具有相同导入的生产供应商驱动程序通常要大得多 预期会对同样使用 `MmMapIoSpaceEx` 的合法 OEM/诊断驱动程序产生少量误报。宽松变体放宽了一些约束以扩大匹配范围。 ## 规则 | 文件 | 目的 | |---|---| | `kernel_rw_driver.yar` | 能力指纹的严格和宽松变体。 | | `physmem_rw_dispatch_signature.yar` | 特定分发家族 (0x222000..0x222044) 的 API 和 IOCTL 范围指纹，以及更广泛的 `physmem_rw_driver_architecture` 对等规则。 | | `kernel_rw_driver_wide.yar` | 非常宽松的网 —— 任何具有跨进程附加和某些物理内存原语的驱动程序。用于确定语料库范围。 | ## 猎手 `hunt.py` 从 MalwareBazaar 拉取带有 `sys`、`WHQL`、`driver`、`rootkit`、`malicious` 标签的最新样本，解压每个样本（密码为 `infected`），并运行 YARA 规则包。命中结果将存入 `hits.json`。 ``` # 1. 获取免费的 MalwareBazaar API key: https://bazaar.abuse.ch/account/ export MB_AUTH_KEY= # 2. 可选 — 指向您已有的 7-Zip export SEVENZ="/c/Program Files/7-Zip/7z.exe" # 3. 安装 Python deps pip install yara-python pefile # 4. 运行 python hunt.py ``` 样本缓存在 `./.cache/` 中，因此重新运行时只会重新测试规则；它们不会重新下载。每次运行后都会覆盖 `hits.json`。 ## PDB 辅助工具 `pdb_fetch.py` 读取 PE 的 CodeView 调试记录，并从 Microsoft 公共符号服务器下载匹配的 PDB。在对命中结果进行分类并希望查找相应内核二进制文件版本的符号时，此工具非常有用。 ``` python pdb_fetch.py C:/Windows/System32/win32kfull.sys # 写入 ./.cache/win32kfull.pdb ``` ## 授权使用 这些规则旨在用于防御性威胁狩猎 —— 将它们指向您有合法访问权限的样本语料库（您自己的 MB 源、沙箱、来自事件响应的样本）。请勿使用该猎手抓取您无权处理的样本，并在重新分发样本时务必遵守 MB 的条款。 ## 许可证 MIT — 请参阅 [LICENSE](LICENSE)。

标签：0day挖掘, DMA驱动, EDR绕过, KeStackAttachProcess, MalwareBazaar, MmMapIoSpaceEx, Python, .sys文件, Web报告查看器, YARA, 云资产可视化, 云资产清单, 内核安全, 内核驱动, 后渗透工具, 威胁情报, 开发者工具, 恶意软件狩猎, 无后门, 物理内存映射, 网络协议, 跨进程读写, 逆向工具, 逆向工程, 高交互蜜罐