🔍 Contexte
Publié le 21 juin 2026 sur GitHub (struppigel/hedgehog-tools), ktrace est un outil de traçage d’API pour drivers Windows en mode noyau, développé à l’aide d’une approche semi-automatisée (“vibe-coded”) combinant analyse manuelle et génération assistée par IA.
🛠️ Description de l’outil
ktrace s’appuie sur l’émulateur Speakeasy (speakeasy-emulator) pour émuler l’exécution de fichiers .sys (drivers Windows) et capturer les appels aux API du noyau. L’outil a été conçu et validé à partir de l’analyse manuelle d’environ 20 rootkits en mode noyau et drivers, avec un corpus de test de 100 drivers soumis à un timeout de 30 secondes par échantillon.
⚙️ Fonctionnalités principales
- Traçage des appels API du noyau Windows lors de l’émulation
- Simulation de processus (ex: processus antivirus comme
msmpeng.exe,avp.exe) via--fake-processes - Dump mémoire des régions émulées (
--dump-mem) - Dump des fichiers écrits par le driver (
--dump-files) - Export Ghidra : génération d’un script GhidraScript (.java) pour intégrer les résultats dans une base Ghidra (
--ghidra-export) - Sortie structurée en fichiers log, JSONL et métadonnées
📌 Type d’article
Il s’agit d’une publication d’outil open source à destination des analystes en reverse engineering et threat intelligence, visant à faciliter l’analyse comportementale de drivers malveillants (rootkits) sans manipulation manuelle des échantillons.
🧠 TTPs et IOCs détectés
TTP
- T1014 — Rootkit (Defense Evasion)
Malware / Outils
- ktrace (tool)
- Speakeasy (framework)
🔴 Indice de vérification factuelle : 18/100 (basse)
- ⬜ github.com — source non référencée (0pts)
- ✅ 1539 chars — texte partiel (10pts)
- ⬜ aucun IOC extrait (0pts)
- ⬜ pas d’IOC à vérifier (0pts)
- ✅ 1 TTP(s) MITRE (8pts)
- ⬜ date RSS ou approximée (0pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://github.com/struppigel/hedgehog-tools/tree/main/ktrace