Twitterに書ききれないこと

イベントや技術的なことを記したい・・・

アナライジンマルウェア5章 カーネルモードマルウェア解析環境構築のメモ

一部修正しました。

アナライジンマルウェア5章 カーネルモードマルウェア解析環境構築について記事を書きます。
環境はXPです。
またいつかやるときに思い出せるようにメモ。

Visual C++ 2008の設定

VM,XP,WinDbg?の設定はアナライジングマルウェアに載っているので省略

まずはVisual C++ 2008をダウンロードする
http://www.microsoft.com/ja-jp/download/details.aspx?id=29

WINDDKをダウンロードする
今回は7600を使用 http://www.microsoft.com/en-us/download/details.aspx?id=11800 

Visual C++でドライバをコンパイルするためにddkbuild.batをダウンロード
http://www.hollistech.com/Resources/ddkbuild/ddkbuild.html
ソースコードと同じディレクトリに配置し,先頭にWINDDKの場所を記述する

set WNETBASE=C:\WINDDK\\7600.16385.1 

こちらのページを参考に設定した
http://d.hatena.ne.jp/Wacky/20070211/1171213017

Visual C++ 2008を起動し,新しいプロジェクトを作成する 
デバック構成の設定を以下のように設定

ソースコードと同じディレクトリにmakeファイルとsourceファイルを作成する
WINDDKのサンプルを参考に作成した

  • make
#
# DO NOT EDIT THIS FILE!!!  Edit .\sources. if you want to add a new source
# file to this component.  This file merely indirects to the real make file
# that is shared by all the driver components of the Windows NT DDK



!INCLUDE $(NTMAKEENV)\makefile.def
  • source
TARGETNAME=sdthook
TARGETTYPE=DRIVER
TARGETLIBS=$(SDK_LIB_PATH)\advapi32.lib \
            $(SDK_LIB_PATH)\ntdll.lib \
            $(SDK_LIB_PATH)\kernel32.lib \
            $(DDK_LIB_PATH)\ntoskrnl.lib \
            $(DDK_LIB_PATH)\ndis.lib \

SOURCES=sdthook.c\

あとはビルドすればsdthook.sysが作成される

ドライバインストール

愛甲健二さんのホームページにあるDriver Install Programを使用してドライバをインストールする
http://ruffnex.oc.to/kenji/windriver/



以上です。