Tersine Mühendislik & Analiz
Açık Kaynak

Ferivonica (Malware Araştırma Seti)

CC++ (C++17)Windows APIWin32 HookingLodePNG

Global girdi kancalama (hooking), kimlik bilgisi (cookie) kazıma, otomatik ekran yakalama ve disk alanı manipülasyonunu sergileyen kapsamlı, düşük seviyeli bir zararlı yazılım (malware) araştırma paketi.

Teknoloji Yığını

CC++ (C++17)Windows APIWin32 HookingLodePNG

Sistem Metrikleri

Doğrudan Çekirdek (Kernel) seviyesi donanım akışı kancalama
Bellek-içi (In-memory) tuş vuruşu eşleme ve serileştirme

Bunu Neden İnşa Ettim?

"Zararlı veri paketlerinin (payloads) Windows Çekirdeği ile nasıl etkileşime girdiğini derinlemesine anlamak. Yalnızca yıkıcı bir yazılım oluşturmak yerine; donanım akışlarını kesen ve işletim sistemi güvenliğinin sınırlarını test eden, yüksek görünürlüğe sahip, 'oyunlaştırılmış' bir malware araştırma seti tasarladım."

Mimari & Kararlar

Saf Win32 API'leri kullanılarak C++17 ile geliştirildi. Çekirdek kod, girdileri kullanıcı alanı (user-space) işlemlerinden önce yakalamak için global WH_KEYBOARD_LL ve WH_MOUSE_LL kancaları (hooks) kuran `SetWindowsHookEx` metodunu kullanır. Bu girdileri okunabilir CSV loglarına dönüştürür. İkincil modüller, tarayıcı çerezleri için dosya sistemini aktif olarak tarar ve yerel, bağımlılıksız ekran yakalama için LodePNG kütüphanesini kullanır. (Deneysel DLL enjeksiyon yetenekleri mevcuttur ancak sistem kararlılığını sağlamak için devre dışı bırakılmıştır).

Temel Özellikler

  • 01.Global donanım kesintisi (interrupt) yakalama (Keylogging)
  • 02.Tarayıcı çerezleri için otomatik dosya sistemi taraması
  • 03.Bağımlılıksız PNG ekran yakalama (LodePNG)
  • 04.Deneysel kendini enjekte eden (self-injecting) DLL mimarisi
  • 05.Otonom disk doldurma (I/O tükenmesi) paketi