Surveyor
高度なWindowsカーネル解析およびシステムプロファイリングツール。ユーザーランドAPIと、任意のカーネルドライバー統合の両方を通じて、カーネルコールバック、ETWセッション、ドライバー解析、システム状態を包括的に可視化します。
主な機能
- カーネルコールバック解析:シンボル解決を用いて、プロセス/スレッド/イメージロード/レジストリのコールバックを列挙
- ETWセッション検出:カーネルレベルの可視性により、アクティブなETWセッション、コンシューマー、トレースプロバイダーを特定
- セキュリティ製品検出:コールバック列挙とミニフィルター解析により、EDR/AV製品を検出
- シンボル解決:Windowsカーネルシンボルを解決するためのMicrosoftシンボルサーバー連携
- ドライバー解析:フックのギャップ検出を備えた包括的なカーネルモジュール列挙
- メモリ・フォレンジクス:高度な解析とパターン検出のためのカーネルメモリへの直接アクセス
コアコンポーネント
データコレクター
- システム:
GetVersionExW、GetSystemInfo、GlobalMemoryStatusEx - プロセス:
CreateToolhelp32Snapshot、Process32FirstW/NextW、モジュール列挙 - ドライバー:
NtQuerySystemInformation(SystemModuleInformation)、レジストリ解析 - サービス:サービスコントロールマネージャーAPI、構成クエリ
- ネットワーク:
GetAdaptersAddresses、GetExtendedTcpTable、ルーティングテーブル - レジストリ:セキュリティハイブの列挙、永続化箇所のスキャン
- ファイルシステム:ドライブ列挙、セキュリティソフトウェアのディレクトリ検出
- AMSI:プロバイダーのレジストリ解析、COMオブジェクトのイントロスペクション
- ETW:
TdhEnumerateProviders、セッション列挙、コンシューマー解析、オートロガー設定 - コールバック:シンボル解決とドライバー通信によるカーネルコールバックテーブルの列挙
- ミニフィルター:ファイルシステム操作コールバックの列挙と分類
カーネルドライバー
- コールバック列挙:プロセス、スレッド、イメージロード、レジストリのコールバック
- ETW解析:セッション列挙、コンシューマー特定、ロガー解析
- シンボル解決:カーネルシンボルのためのMicrosoftシンボルサーバー連携
- モジュール解析:ドライバー列挙、署名検証、ギャップ検出
- メモリアクセス:高度な解析のためのカーネルメモリ直接読み取り
インストール&使用方法
ソース: meterpreter.org
