AvanzadogithubkernelWindowsinvestigacióndrivers

Windows Kernel Research: los repos para investigadores

Repositorios GitHub de investigación del kernel de Windows: drivers de ejemplo, PoCs de técnicas de kernel, herramientas de kernel debugging y documentación no oficial del kernel.

MalwareIntel Research··4 min lectura
Serie: Repositorios GitHub — Parte 8

Por qué importa el kernel research

El kernel de Windows es donde operan los rootkits, donde los EDR instalan sus hooks, y donde los exploits de escalamiento de privilegios aterrizan. Investigar el kernel es investigar el campo de batalla real entre atacantes y defensores.

GitHub aloja repositorios de investigadores que documentan técnicas de kernel, publican PoCs de vulnerabilidades y comparten herramientas de kernel debugging. Este conocimiento es esencial para analistas de rootkits, desarrolladores de EDR e investigadores de vulnerabilidades.

Top repositorios

1. hfiref0x/KDU (Kernel Driver Utility)

Repo: hfiref0x/KDU Stars: 2,000+ | Estado: activo

Herramienta que explota drivers legítimos vulnerables (BYOVD: Bring Your Own Vulnerable Driver) para obtener acceso al kernel. Documenta decenas de drivers firmados con vulnerabilidades conocidas.

Valor: entender la técnica BYOVD que usan grupos APT (Lazarus, RobinHood ransomware) para cargar rootkits sin necesitar un zero-day de kernel.

2. Kernel Callbacks / Notify Routines

Varios repos documentan las callback APIs del kernel que los EDR usan para monitorización:

  • PsSetCreateProcessNotifyRoutine: notificación de creación/destrucción de procesos
  • PsSetCreateThreadNotifyRoutine: creación de threads
  • PsSetLoadImageNotifyRoutine: carga de imágenes (DLLs, ejecutables)
  • CmRegisterCallbackEx: cambios en el registro
  • ObRegisterCallbacks: operaciones sobre handles de objetos

Valor: entender exactamente cómo monitorizan los EDR y cómo los rootkits pueden evadir o eliminar estas callbacks.

3. hfiref0x/UACME

Repo: hfiref0x/UACME Stars: 4,500+ | Estado: activo

Colección de técnicas de bypass de UAC (User Account Control). Documenta 70+ métodos de elevación de privilegios sin prompt UAC.

Valor: cada técnica es un test case para detección. Si tu EDR no detecta estos bypasses, tienes un gap.

4. Kernel mode drivers de ejemplo

Repos con drivers de ejemplo para aprender desarrollo en kernel mode:

  • zodiacon/WindowsKernelProgramming: ejemplos del libro de Yosifovich
  • Repos de drivers de minifilters, callbacks, IOCTL handlers
  • Ejemplos de comunicación kernel-userland

Valor: aprender a escribir drivers te permite leer el código de rootkits y EDR con fluidez.

5. PatchGuard / KPP research

Repos que documentan PatchGuard (Kernel Patch Protection): cómo funciona, qué protege, y técnicas históricas de bypass. PatchGuard previene modificaciones de estructuras críticas del kernel (SSDT, IDT, GDT).

Valor: entender la batalla entre Microsoft (PatchGuard) y los rootkits (bypass). Contexto esencial para analizar rootkits modernos.

6. Documentación no oficial del kernel

  • reactos: implementación open source de Windows. Código fuente de funciones del kernel que Microsoft no documenta
  • ntoskrnl structures: repos que documentan estructuras internas no documentadas (EPROCESS, ETHREAD offsets por versión de Windows)
  • ntdll syscall tables: tablas de syscall numbers por versión de Windows

Valor: cuando analizas malware que usa syscalls directos o manipula estructuras del kernel, necesitas saber los offsets exactos para cada versión de Windows.

Cómo usar estos repos

Para analistas de rootkits

Estudia las técnicas de callback manipulation y BYOVD. Cuando encuentres un rootkit en una investigación, estos repos te dan el contexto para entender qué hace.

Para desarrolladores de EDR

Estudia los repos de evasión (KDU, UACME) para entender las técnicas que tus productos deben detectar. Cada PoC es un test case.

Para investigadores de vulnerabilidades

Los repos de PatchGuard research y kernel exploitation documentan la superficie de ataque del kernel de Windows.

Precaución

El código de kernel puede crashear el sistema (BSOD). Siempre trabaja en VMs con snapshots. Nunca ejecutes drivers de investigación en sistemas de producción. Y nunca uses técnicas de bypass contra sistemas sin autorización.

Veredicto

El kernel research en GitHub es una mina de conocimiento para analistas avanzados. KDU para BYOVD, UACME para UAC bypass, y los repos de callbacks para entender EDR. Nivel avanzado, pero si trabajas con rootkits o desarrollas productos de seguridad, son imprescindibles.

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.