WK

Korkin Anti Rootkit for Windows (winkar, WK) - is a stealth malware detection system. The main point of innovation is applying dynamic binary signatures (DBS) for stealth software detection.

More detailes in:

1. Anti-Rootkits in the Era of Cyber Wars. Hakin9 Magazine, English Edition. Issue 07/2012 (11) ISSN 1733-7186. August 2012 pdf blog .

2. Working video demo - youtube.com. General scheme of WinKar and video comments - pdf blog

We look at stealth processes, threads, drivers and services of OS as stealth objects.

It is essential to underline the following features of this suggested approach:

1. DBS doesn’t use any OS functions for receiving the final list of objects and therefore it is much more difficult to prevent it. The results of the method are resistant to hooking or modifying the kernel structure;

2. Dynamic signature provides portability of the method to all 32-bit OS Windows, and porting to the 64-bit OS Windows is simple;

3. Probabilistic check allows to detect even changed object structures;

4. This method can be combined with other ways of receiving a list of objects;

5. DBS can be adapted to detect any typically structured objects.

Testing results of this method are very positive.

The rivals are able to detect stealth object relying on their links or activities.

We are using a completely different approach to stealth objects detection in OS.

Malware can delete different links of its objects. In addition, malware can act selectively, which prevents its detection.

This method is using found relationships in the object structures. These relationships are neither links, nor activity results and they excit as long as the object is in memory, and doesn't depend on stealth technology, which is used.

Methods to prevent this DBS approach are not found in publicly available sources.

Data leak and destructive impact on information system of Key Resources Critical Infrastructure is seen as possible with malware activity.

Development of new approaches of stealth malware detection is an urgent task for securing of the country's defense capacity.

Korkin Anti Rootkit for Windows (winkar, WK) - система обнаружения скрытого программного обеспечения в 32-х битных ОС семейства Windows, основанная на использовании динамических битовых сигнатур. Реализованный способ обнаружения скрытых объектов уникален и аналогов не имеет.

WK обнаруживает следующие скрытые объекты ОС:

  • процессы;

  • потоки;

  • драйвера;

  • сервисы.

Разработанная система обладает рядом достоинств:

  • динамическая сигнатура обеспечивает переносимость способа на все 32-разрядные ОС линейки Windows, а для обнаружения скрытых объектов в 64-разрядных ОС линейки Windows необходимы лишь минимальные изменения в исходном коде;

  • вероятностная проверка позволяет выявить даже изменённые структуры объектов;

  • WK не использует никакие функции Windows для получения готового списка объектов и, следовательно, противодействовать ему намного сложнее. Результат работы способа не может быть изменён, путём перехвата или модификации структур ядра;

  • WK имеет высокую скорость поиска за счёт работы с копией оперативной памяти и может сочетаться с другими способами получения списка объектов;

  • WK может быть адаптирован к поиску любых объектов, имеющих типичное строение;

WK может быть использован как в исследовательских целях для изучения скрытых объектов, так и в работе обычных пользователей для борьбы со скрытыми объектами. WK может быть использован как самостоятельная программа, так и в составе комплекса антивирусных средств.