WinDBG Anti-RootKit 扩展项目使用教程

WinDBG Anti-RootKit 扩展项目使用教程

1. 项目介绍

WinDBG Anti-RootKit（WDBGARK）是一个为Microsoft WinDBG调试器设计的扩展（动态链接库），主要用于查看和分析Windows内核中的异常。通过该扩展，可以查看各种系统回调、系统表、对象类型等。WDBGARK使用DML（Data Model Language）提供更加用户友好的视图，并且大多数命令需要内核模式连接。

2. 项目快速启动

环境准备

• Microsoft Visual Studio 2017
• WDK（Windows Driver Kit）和Windows 10 SDK，版本1709（10.0.16299.0）
• Visual C++ Redistributable for Visual Studio 2017

构建项目

1. 从GitHub克隆或下载WDBGARK项目代码。
2. 使用Visual Studio 2017打开项目解决方案（wdbgark.sln）。
3. 在菜单中选择“构建 -> 批量构建”，构建dummypdb模块（x86和x64）。
4. 为主项目选择解决方案配置和平台，然后构建。

注意： 调试构建的post-build事件会自动将编译好的扩展复制到WinDBG的插件文件夹。

使用扩展

1. 下载并安装Microsoft Debugging Tools。
2. 构建或下载WDBGARK扩展。
3. 确保已安装Visual C++ Redistributable for Visual Studio 2017。
4. 将扩展复制到WDK调试器的目录下，例如：
   • x64: C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\winext\
   • x86: C:\Program Files (x86)\Windows Kits\10\Debuggers\x86\winext\
5. 启动WinDBG。
6. 设置WinDBG以正确使用Microsoft符号服务器或手动处理符号。
7. 通过.load wdbgark命令加载扩展。
8. 执行!wdbgark.help获取帮助或!wdbgark.wa_scan进行完整系统扫描。

3. 应用案例和最佳实践

系统扫描

使用!wdbgark.wa_scan命令进行系统扫描，这会执行所有可用的命令，为系统提供全面的检查。

检查系统回调

使用!wdbgark.wa_systemcb命令输出内核模式下的系统回调，这有助于识别可能由恶意软件注册的回调。

分析异常进程

使用!wdbgark.wa_process_anomaly命令检查进程中的各种异常，以便发现可能的恶意活动。

4. 典型生态项目

在Windows内核调试领域，WDBGARK是众多工具中的一款。以下是一些与WDBGARK相关的典型生态项目：

• WinDbg: 微软提供的强大调试工具，WDBGARK作为其扩展使用。
• Sysmon: 一个用于记录Windows系统活动的工具，常与WinDBG等调试工具结合使用。
• Volatility: 一个开源的内存取证框架，用于从内存转储中提取数字证据。

这些工具和项目共同构成了Windows内核调试和安全性分析的工具生态。