┌──(rzdhop㉿github)-[~]
└─$ neofetch
.---. rzdhop@github
.'_:___". Reverse Engineer & Kernel dev
|__ --==| Skills: C(++), ASM, Linux Kernel, Windows Internals,
[ ] :[| Blog: https://vrdu.notion.site
|__| I=[| Motto: "Lean hard, BSOD hard"
/ / ____|
|-/.____.' MS-SIS @ ESIEA | Intern @ Veolia
/___\ /___\
┌──(rzdhop㉿github)-[~]
└─$ cd projects && ls -l
drwxr-xr-x 1 rida cybersec 4096 May 7 14:58 📁 ClandestineCore/
drwxr-xr-x 1 rida cybersec 4096 May 7 14:58 📁 SSDTEnum/
drwxr-xr-x 1 rida cybersec 4096 May 7 14:58 📁 Enumerator/
drwxr-xr-x 1 rida cybersec 4096 May 7 14:58 📁 REKW_Part1/
drwxr-xr-x 1 rida cybersec 4096 May 7 14:58 🔜 future_projects.elf
┌──(rzdhop㉿github)-[~/projects]
└─$ cat ClandestineCore/README.md
🔐 ClandestineCore — Rootkit kernel modulaire (Linux x86_64)
Hook sur do_send_sig_info via kprobe
↳ Intercepte les appels kill(pid, sig) au niveau noyau
↳ Chaque signal déclenche un handler spécifique (kSIGxxx)
Signaux spéciaux :
- 51 (SIGALWRECV) → Enregistre un misc device /dev/devcc
- 52 (SIGREMRECV) → Supprime le device
- 53 (SIGHIDEMOD) → Cache le module (list_del(&THIS_MODULE->list))
- 54 (SIGUNHIDEM) → Remet le module (list_add(...))
- 55 (SIGSENDNET) → Envoie un payload TCP via kernel_sendmsg
Kernel-level stealth & full custom syscall hooking.
TODO: payload send via RAW packets
┌──(rzdhop㉿github)-[~/projects]
└─$ cat SSDTEnum/README.md
🧾 SSDTEnum — Enumeration de la SSDT sous Windows 11 (x64)
Objectif : retrouver dynamiquement KeServiceDescriptorTable
- Utilise LSTAR (MSR 0xC0000082) pour récupérer *KiSystemCall64
- Analyse le flux jusqu’au lea r10, [KiServiceTable]
- Résout les offsets vers les fonctions système
Driver kernel en C :
- Dump l’index, offset et adresse de chaque entrée SSDT
- Utilise DbgPrint pour afficher les infos depuis le kernel
Compile avec WDK, map avec kdmapper pour éviter la signature.
┌──(rzdhop㉿github)-[~/projects]
└─$ cat Enumerator/README.md
🧬 Enumerator — Kernel-mode Windows callback extractor
Objectif :
- Enumérer dynamiquement les callbacks noyaux non exportés :
• Processus (PsSetCreateProcessNotifyRoutine)
• Threads (PsSetCreateThreadNotifyRoutine)
• Chargement d’image (PsSetLoadImageNotifyRoutine)
• Registre (CmRegisterCallback)
Méthodo :
- Résolution dynamique via MmGetSystemRoutineAddress()
- Reverse flow vers fonctions internes Psp*/Cmp*
- Parsage brut de structures internes et listes chainées
- Dump des pointeurs de fonction de callback (CALLBACK +0x8)
Communication :
- IOCTL driver ↔ userland via interface buffered I/O
- Client Windows (C++) envoie des commandes :
→ IOCTL_ENUM_PROC_CB / IOCTL_ENUM_THRD_CB / IOCTL_ENUM_LIMG_CB / IOCTL_ENUM_CMRG_CB
→ Affichage CLI des adresses de callback
⚠️ Utilisation prévue avec kdmapper (no DriverEntry STD)
Client : Menu terminal pour les envoies d'IOCTL
Driver : Ou toute la logique opère
┌──(rzdhop㉿github)-[~/projects]
└─$ watch ./future_projects.elf
to be continued...Pinned Loading
Something went wrong, please refresh the page to try again.
If the problem persists, check the GitHub status page or contact support.
If the problem persists, check the GitHub status page or contact support.