allogic/KSU
GitHub: allogic/KSU
一款具备网络 API 的 x64 内核级 Rootkit,用于进程内存的深度剖析与操控。
Stars: 12 | Forks: 3
# 概述
`Kernel Script Utility (KSU)` 是一个用 C 语言编写的 x64 内核模式 Rootkit。其设计旨在剖析和拦截进程内存流。
# 编译项目
请确保系统上安装了最新的 `WDK` 以构建驱动程序。打开 Visual Studio 解决方案,并针对 `Debug` 或 `Release` 配置以及 `x64` 架构进行构建。
# 安装驱动
有几种方法可以启动此驱动程序。大多数游戏要求启用 `Driver Signature Enforcement (DSE)`,但 Windows 不会加载没有证书的驱动程序。解决方案是利用诸如 `KDU` 之类的工具在运行时绕过 `DSE`,或者使用 `EfiGuard` 在启动时或运行时绕过 `DSE`。
- https://github.com/hfiref0x/KDU
- https://github.com/Mattiwatti/EfiGuard
另一种禁用 `DSE` 的方法是按住 `Shift` 键并重新启动。当 Windows 再次启动时,点击 `疑难解答/高级选项/启动设置/重启/F7`。几乎所有反作弊软件都不会启动,因为在此模式下 `DSE` 会被永久禁用,直到下次重启。
禁用 `DSE` 后,即可启动驱动程序。
```
sc.exe create ksu type=kernel binPath="C:\driver.sys" # Create system service
sc.exe start ksu # Start the driver
```
# 功能
## 信息
**此 API 仍在建设中!**
此端点旨在获取内核或进程镜像的扩展信息。
```
interface [Ip(Str)] [Port(Dec)] info process [ProcessId(Dec)]
```
## 内存扫描
**此 API 仍在建设中!**
在物理上,每个进程的内存可能分散在物理内存的不同区域,或者可能已被换出到辅助存储器,通常是硬盘驱动器或固态驱动器。扫描器的工作是遍历进程内存的所有物理页面,并存储所有符合特定条件的值。
```
interface [Ip(Str)] [Port(Dec)] scan reset
interface [Ip(Str)] [Port(Dec)] scan aob [ProcessId(Dec)] [Bytes(Hex)]
interface [Ip(Str)] [Port(Dec)] scan changed
interface [Ip(Str)] [Port(Dec)] scan unchanged
interface [Ip(Str)] [Port(Dec)] scan undo
```
## 调试断点
**此 API 仍在建设中!**
硬件断点是使用 Intel SDM 中描述的 DRx 架构断点寄存器实现的。
```
interface [Ip(Str)] [Port(Dec)] break set [Address(Hex)]
interface [Ip(Str)] [Port(Dec)] break clear [Address(Hex)]
```
## 内存操作
```
interface [Ip(Str)] [Port(Dec)] memory kernel read [Address(Hex)] [Size(Dec)]
interface [Ip(Str)] [Port(Dec)] memory kernel write [Address(Hex)] [Bytes(Hex)]
interface [Ip(Str)] [Port(Dec)] memory process [ProcessId(Dec)] read [Address(Hex)] [Size(Dec)]
interface [Ip(Str)] [Port(Dec)] memory process [ProcessId(Dec)] write [Address(Hex)] [Bytes(Hex)]
```
## 关闭
```
interface [Ip(Str)] [Port(Dec)] shutdown
```
# 参考资料
- https://nirsoft.net/
- https://geoffchappell.com/
- https://reactos.org/
标签:0day挖掘, DSE绕过, Rootkit, SSH蜜罐, TCP/IP API, WDK, Windows内核, x64, Zeek, 云资产清单, 内存扫描, 内存拦截, 内核安全, 内核态编程, 协议分析, 反作弊, 客户端加密, 客户端加密, 并发处理, 恶意软件, 权限提升, 流量嗅探, 游戏安全, 物理内存访问, 特征码扫描, 白帽子, 系统底层, 网络安全, 网络安全审计, 网络安全监控, 进程注入, 逆向工程, 隐私保护, 驱动开发, 驱动签名强制