Org Referenced : http://www.tuluka.org/index.html

또 강력한 툴이 나왔습니다.





Tuluka is a new powerful AntiRootkit, which has the following features:

숨겨진 프로세스와 드라이버, 디바이스 감지
IRP 훅 감지
DRIVER_OBJECT의 특정 필드 식별 조회
드라이버 시그내쳐 체크
SSDT훅 감지 / 복원
GDT의 의심스러운 부분 감지
IDT훅 감지
SYSENTER 훅 감지
커널 시스템 쓰레드 리스트 조회 및 , Suspend가 가능
IAT와 인라인 훅 감지
DR 레지스터의 값 조회 가능하며 , 어떠한 모듈에서 DR을 건드리고 있는지 확인 가능
어드레스의 대입만으로 , 그 어드레스가 어떠한 모듈에서 사용되고 있는지 조회 가능
커널 메모리를 조회하고 , 그 정보를 디스크에 저장 가능
커널 드라이버 덤프 / 프로세스의 주 모듈 덤프 가능
프로세스 종료 가능
인터럽트 루틴 / IRP핸들러 / 시스템 서비스 / 쓰레드의 Start Routine 등등등등을    "디스어셈블" 가능
디바이스 스택 Build 가능
기타 등등



Tuluka is tested on the following operating systems(32-bit):

Windows XP SP0 SP1 SP2 SP3
Windows Server 2003 SP0 SP1 SP2 R2
Windows Vista SP0 SP1 SP2
Windows Server 2008 SP0 SP1 SP2
Windows 7 SP0 SP1


최근 들어서 이러한 종류의 툴들이 잇따라 등장하고 있습니다.
특히나 이 툴은  "Command" 를 지원하는것이 가장 큰 특징이라고 볼수있는데,
kernel detective 같은경우는 , disassemble이 있어서 좋았지만,  상당히 불안정해서 쓰지않고 있었는데,
이젠 이 툴로 대체가 가능하게 됐습니다.
Command 같은 경우 ,  Display Memory와  Disassemble을 지원하는데

해당 커맨드는   u (disassemble) , db, dw, dd(display) 가 있습니다.

Tuluka commands

Syntax

u [/d] [DISK] [address] [size]

Description

Disassembles the memory in the given range.

Parameters

address - start address of the region.

size - size of the region.

/d - get data from the disk instead of memory. If this parameter is present then DISK specifies the name of disk.

Example

u 804da000 1000

u /d c: 0 200 (disassembles boot sector)

Syntax

d{b,w,d} [/d] [DISK] [address] [size]

Description

Display the contents of memory in the given range.

Parameters

db - Each displayed line consists of address followed up to 16 byte values of its contents.

dw - Each displayed line consists of address followed up to 8 word values of its contents.

dd - Each displayed line consists of address followed up to 4 double-word values of its contents.

address - address from the dump should start

size - size of the dump

/d - dump data from disk instead of memory. If the parameter is present, the DISK argument specifies the name of disk device to dump.

Example

dd 804da000 1000

db /d c: 0 200 (displays contents of the boot sector)

____________________________________________________________________________________________________________________

>>db /d c: 0 200

00000000 EB 52 90 4E 54 46 53 20 20 20 20 00 02 08 00 00

00000010 00 00 00 00 00 F8 00 00 3F 00 FF 00 00 08 00 00



windbg의 커맨드를 그대로 반영했네요.

결국 이러한 툴들이 등장하는 목적은................
"로컬 커널 디버깅을 실시간으로 가능하게 한다"    라는것이 목적인듯하네요.
kernel detectivce , rkunhooker , Tuluka kernel inspector   모두 같은 맥락의 툴이겠지요.
시간이 지나면 지남에 따라서 , windbg가 필요없게 되는날이 올지도 모릅니다.
아니 , 그 날이 올게 분명합니다.

저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License

'Reverse Engineering' 카테고리의 다른 글

The Rootkit Arsenal  (5) 2011.01.25
Kernel Detective 1.4  (0) 2010.12.09
Tuluka kernel inspector v1.0.394.77  (4) 2010.10.31
RKUnhooker LE v3.8.388.590 SP2  (0) 2010.10.31
IDA Stealth 1.3.2  (0) 2010.10.10
Import Reconstructor 1.7e FINAL  (0) 2010.10.10
by Sone 2010.10.31 14:58

티스토리 툴바