Bunu Neden İnşa Ettim?
"Zararlı veri paketlerinin (payloads) Windows Çekirdeği ile nasıl etkileşime girdiğini derinlemesine anlamak. Yalnızca yıkıcı bir yazılım oluşturmak yerine; donanım akışlarını kesen ve işletim sistemi güvenliğinin sınırlarını test eden, yüksek görünürlüğe sahip, 'oyunlaştırılmış' bir malware araştırma seti tasarladım."
Mimari & Kararlar
Saf Win32 API'leri kullanılarak C++17 ile geliştirildi. Çekirdek kod, girdileri kullanıcı alanı (user-space) işlemlerinden önce yakalamak için global WH_KEYBOARD_LL ve WH_MOUSE_LL kancaları (hooks) kuran `SetWindowsHookEx` metodunu kullanır. Bu girdileri okunabilir CSV loglarına dönüştürür. İkincil modüller, tarayıcı çerezleri için dosya sistemini aktif olarak tarar ve yerel, bağımlılıksız ekran yakalama için LodePNG kütüphanesini kullanır. (Deneysel DLL enjeksiyon yetenekleri mevcuttur ancak sistem kararlılığını sağlamak için devre dışı bırakılmıştır).
Temel Özellikler
- 01.Global donanım kesintisi (interrupt) yakalama (Keylogging)
- 02.Tarayıcı çerezleri için otomatik dosya sistemi taraması
- 03.Bağımlılıksız PNG ekran yakalama (LodePNG)
- 04.Deneysel kendini enjekte eden (self-injecting) DLL mimarisi
- 05.Otonom disk doldurma (I/O tükenmesi) paketi