# önder online
Teknoloji ve siber güvenlik dünyasına hoş geldiniz Güncel siber tehditler ve korunma yöntemleri Yapay zekâ ve otomasyonun güvenliğe etkileri Microsoft 365 ve Active Directory güvenlik rehberleri Yazılım geliştirmede güvenlik odaklı yaklaşımlar Teknoloji ve siber güvenlik dünyasına hoş geldiniz Güncel siber tehditler ve korunma yöntemleri

Menu

Bizi Takip Edin

Cyber Security

RingReaper

RingReaper
25 Jul 2025 Cyber Security 454 6 dakika okuma

RingReaper, Windows'ta kernel modunda (Ring 0) çalışan ve şu amaçlarla kullanılan bir güvenlik araştırma/penetrasyon testi aracıdır:

RingReaper Nedir? Windows Kernel (Ring 0) Üzerinde Güvenlik Araştırmaları İçin Güçlü Bir Araç

Kernel seviyesi (Ring 0) güvenlik araştırmaları, işletim sisteminin en düşük seviyesinde gerçekleştiği için hem büyük bir teknik uzmanlık gerektirir hem de ciddi riskler barındırır. Bu alanda araştırmacılar tarafından kullanılan açık kaynak projelerden biri de RingReaper’dır.

👉 GitHub Projesi:
https://github.com/MatheuZSecurity/RingReaper

RingReaper, esas olarak Windows kernel modunda çalışan bir sürücü (driver) ve bu sürücüyle iletişim kuran bir kullanıcı modu uygulamasından oluşur. Pek çok farklı kullanım senaryosu bulunsa da projenin temel hedefi güvenlik araştırmalarına ve anticheat analizine yönelik kontrollü testler yapabilmektir.

⚠️ ÖNEMLİ UYARI:
Bu tür araçlar yanlış amaçlarla kullanıldığında oyun hilelerinden zararlı yazılım geliştirmeye kadar pek çok yasa dışı alana kayabilir.
Sadece eğitim, analiz ve etik sızma testleri için, tamamen izinli ortamlarda kullanılmalıdır.

🎯 RingReaper’ın Kullanım Amaçları

RingReaper farklı siber güvenlik alanlarında kullanılabilir.

✔️ 1. Oyun Güvenlik Sistemlerini Test Etme

Popüler oyunlarda kullanılan anticheat yazılımları (EAC, BattlEye, Vanguard vb.) kernel seviyesinde çalışır.
Bu araçlar:

  • Bellek bütünlüğünü korur

  • Yetki yükseltme girişimlerini engeller

  • Oyun sürecine (process) yapılan müdahaleleri algılar

RingReaper, bu sistemlerin nasıl tespit yaptığını incelemek ve zafiyet araştırmaları yapmak için bir test ortamı sağlar.

✔️ 2. Yetki Yükseltme / Kernel Exploit Araştırmaları

Windows kernel mimarisi üzerinde:

  • Bellek erişimleri

  • Sayfa tablosu (paging) mekanizmaları

  • SSDT hook kontrolleri

  • CR3 manipülasyonu

  • Kernel Thread davranışları

gibi konular araştırılır. RingReaper, araştırmacıların kontrollü bir driver ile bu davranışları gözlemlemesini mümkün kılar.

✔️ 3. Adli Bilişim (Forensic) ve Zararlı Analizi

Kernel moduna yerleşen malware örnekleri:

  • İşlem gizleme (DKOM)

  • Sürücü gizleme

  • Bellek manipülasyonu

  • Rootkit teknikleri

gibi gelişmiş yöntemler kullanır.
RingReaper bu davranışların simülasyon ve analizinde kullanılabilir.

🔧 Teknik Yapı: RingReaper Nasıl Çalışıyor?

Araç iki ana bileşenden oluşur:

1️⃣ Kernel Driver (RingReaper.sys)
2️⃣ User-mode kontrol uygulaması

Kullanıcı modundan kernel sürücüsüne DeviceIoControl üzerinden komut gönderilir.

Kernel Bellek Erişim Mekanizması

Windows, normalde bir işlemin başka bir işlemin belleğini okumasına izin vermez. Kernel mode bunu aşabilir.

Temel Yaklaşım:

  • Hedef işlemin EPROCESS yapısı bulunur

  • Kernel fonksiyonu MmCopyVirtualMemory kullanılır

  • Bellek bir buffer içine kopyalanır

Bu işlem sadece araştırma amaçlı yapılmalıdır.

Basitleştirilmiş örnek yapısal kod (çalışır değildir, konsept göstermek içindir):

NTSTATUS ReadMemory(
    PEPROCESS TargetProcess,
    PVOID SourceAddress,
    PVOID OutputBuffer,
    SIZE_T Size
);

Fonksiyonun amacı hedef sürecin belirli bir adres aralığını kopyalamaktır.

🛡️ AntiCheat Sistemlerinin Atlama Mekanizmaları (Teorik)

RingReaper gibi araçlar, araştırma ortamlarında anticheat sistemlerinin nasıl çalıştığını gözlemlemek için kullanılır.

1️⃣ Bellek Korumasını Aşma Teknikleri (Analiz Amaçlı)

  • CR3 manipülasyonu
    → Hangi page table’ın aktif olduğunu değiştirerek adres alanlarını okumayı mümkün kılar.

  • Sayfa izinlerini değiştirme
    → Read-only korumalarını devre dışı bırakarak belleğe yazmak mümkün olabilir.

2️⃣ Tespit Edilmeme Analizleri

Anticheat yazılımları genellikle:

  • SSDT hook kontrolü

  • Driver imza doğrulaması

  • PatchGuard izleme

gibi yöntemlerle koruma sağlar.

Araştırmacılar, bu sistemlerin davranışlarını incelemek için çeşitli kernel objelerini kontrol eder.

3️⃣ Güvenilir Sürücü Abuse Tespiti

Bazı yasal sürücülerde privilege escalation zafiyetleri olabilir.
Güvenlik ekipleri bu zafiyetleri test etmek için RingReaper benzeri araçlar kullanabilir.

⚠️ Riskler ve Olası Sonuçlar

Kernel seviyesinde çalışan her araç gibi RingReaper’ın kullanımı da ciddi riskler barındırır:

Sistem Çökmesi (BSOD)

Yanlış yapılmış bir bellek işlemi tüm işletim sistemini kilitleyebilir.

Oyun Hesabı Kalıcı Ban

Anticheat sistemleri kernel sürücüsü yükleyen uygulamaları agresif şekilde tespit eder.

Yasal Sorunlar

Oyunlarda hile üretmek/kullanmak birçok ülkede cezai yaptırımlara tabi olabilir.

✔️ En Güvenli Kullanım Yöntemi

Mutlaka sanal makine (VM) kullanın.
Ana sistemde test yapmak veri kaybı ve sistem hatalarına yol açabilir.

🛠️ Kurulum ve Çalıştırma (Güvenli Test Senaryosu)

Gereksinimler:

  • Visual Studio

  • Windows Driver Kit (WDK)

  • Test yazılım sertifikası veya Test Mode

  • Sanal makine (VMware/Hyper-V/VirtualBox)

Adımlar:

git clone https://github.com/MatheuZSecurity/RingReaper.git
cd RingReaper

Visual Studio ile RingReaper.sln dosyasını açıp derleyebilirsiniz.

Driver, test amaçlı şu şekilde yüklenir:

sc create RingReaper binPath= C:\Test\RingReaper.sys type= kernel
sc start RingReaper

Not: Modern Windows sürümleri imzasız driver’ları engeller.
Bu nedenle test modunda veya Debug VM ortamında çalıştırılmalıdır.

🔄 Alternatif Kernel Araştırma Araçları

Araç Amaç
KD (WinDbg) Kernel debugging
HyperDbg Hypervisor tabanlı debugger
Process Hacker 2 (Kernel moduyla) Bellek ve süreç takibi
PCHunter / Gmer Rootkit analiz araçları

🔎 Teorik Bir Senaryo: Oyun Güvenliği Testi

Bu, tamamen etik hacking ve araştırma amaçlı bir örnektir:

  1. Hedef oyunun PID’si alınır

  2. Bellek bölgeleri taranır

  3. Sağlık/mermi gibi değişkenlerin adresleri analiz edilir

  4. AntiCheat mekanizmalarının bu erişimi nasıl izlediği test edilir

Amaç hile yapmak değil, anticheat sisteminin hangi davranışları izlediğini anlamaktır.

📌 Sonuç

RingReaper, kernel seviyesinde çalışan çok güçlü bir güvenlik araştırma aracıdır ve şu alanlarda kullanılabilir:

✔ Oyun güvenlik testleri
✔ Kernel exploit araştırması
✔ Zararlı yazılım analizi
✔ Anticheat davranış incelemesi

Ancak:

❌ Yanlış amaçlarla kullanmak hem etik dışıdır hem de yasal olarak cezalandırılır.
❌ Kernel modunda yapılan her hata sistem çökmesine yol açabilir.

Bu nedenle yalnızca izinli test ortamlarında, sanal makine üzerinde kullanılması şiddetle tavsiye edilir.

📚 Daha Fazla Öğrenmek İsteyenler İçin

  • Windows Kernel Programming – Pavel Yosifovich

  • Microsoft WDK Belgeleri

  • Hypervisor + Kernel Debugging rehberleri

  • Malware & Rootkit araştırma toplulukları

 

 

Cheat GetProcessId Guides on UnknownCheats Pavel Yosifovich RingReaper

İlgili Yazılar