- NtWarden là toolkit MIT mới ra của @mrT4ntr4 — gộp ImGui GUI, kernel driver KWinSys và TCP server WinSysServer thành một bộ DFIR/malware analysis xuyên suốt user lẫn kernel mode, làm được trên máy local hoặc qua mạng.
TL;DR
NtWarden là một toolkit phân tích Windows mã nguồn mở (MIT) vừa được @mrT4ntr4 phát hành tháng 4/2026. Nó gom 4 mảnh: GUI ImGui+DirectX 11, thư viện user-mode WinSys, kernel driver KWinSys, và TCP server không headless WinSysServer. Kết quả là một công cụ DFIR/malware analysis có thể soi processes, ETW, network, registry ở user-mode và SSDT, callbacks, drivers, kernel pool, EPT hook ở kernel-mode — chạy local hoặc remote qua mạng.
What's new
Đa số công cụ phổ biến chỉ chiếm một góc của bài toán. Process Hacker / System Informer mạnh ở user-mode, PE-sieve và Hollows Hunter chuyên detect hollowing/hooks ở góc process, WinObjEx64 mở Object Manager, Volatility làm memory forensic offline. NtWarden cố ép tất cả vào một GUI duy nhất, cộng thêm một remote agent để chạy trong VM lab cách ly.
Điểm khác biệt rõ nhất so với WinArk — dự án mà tác giả thừa nhận là nguồn cảm hứng — là việc bổ sung remote inspection qua TCP và một loạt detection ở mức hypervisor (EPT hook qua timing) ngay trong GUI.
Why it matters
Khi phân tích một host Windows nghi nhiễm, analyst thường phải nhảy giữa 4–5 tool, mỗi tool một format output, và việc soi kernel state thường đòi WinDbg + script. NtWarden cố biến quy trình triage thành "mở GUI, click tab" — giảm friction để analyst dành thời gian cho phần khó: đọc dấu vết. Việc có sẵn agent WinSysServer.exe còn giúp tách lab VM khỏi máy analyst, giảm rủi ro lây nhiễm khi soi mẫu sống.
Đáng chú ý hơn, các kỹ thuật phát hiện trong tool — như EPT hook timing, callback integrity verification, hay LolDrivers cross-check — vốn là kiến thức rời rạc nằm trong các bài blog research, conference talk hoặc script PoC. Đóng gói chúng vào một GUI MIT-licensed có nghĩa là một junior analyst cũng có thể "đứng trên vai" toàn bộ tri thức đó mà không cần viết code C++ kernel.
Technical facts
Kiến trúc 4 thành phần:
| Component | Vai trò |
|---|---|
NtWarden | GUI ImGui + DirectX 11 |
WinSys | Thư viện static cho enumeration ở user-mode |
KWinSys | Kernel driver cho callbacks, kernel state |
WinSysServer | TCP server headless cho remote inspection |
User-mode (không cần driver): tree process kèm handles/threads/memory regions/modules, services, TCP/UDP + cert store + NDIS adapter, ETW sessions & providers, RPC endpoints & named pipes, Object Manager, Registry, biểu đồ CPU/RAM/GPU/net real-time.
Kernel-mode (cần KWinSys load): EPROCESS enumeration với phát hiện hidden process, danh sách driver kèm check LolDrivers, callbacks process/thread/image/registry/object/power kèm integrity verify, SSDT entries với hook detection, kernel pool stats, đọc/ghi kernel memory theo address, IRP dispatch tables, WFP callouts, DSE state, EPT hypervisor hook detection bằng timing analysis.
Right-click vào một process bật ra menu phân tích chuyên sâu: unbacked executable memory, hollowing indicator, module stomping, direct syscall, syscall stub integrity, user-mode hook, token privileges, debug object, hypervisor detection qua CPUID timing, CFG/XFG enforcement state.
Comparison
| Tool | User-mode | Kernel-mode | Remote agent | License |
|---|---|---|---|---|
| NtWarden | Có | Có (KWinSys) | Có (TCP, no auth) | MIT |
| System Informer / Process Hacker | Có | Hạn chế | Không | MIT/GPL |
| PE-sieve / Hollows Hunter | Process scan | Không | Không | BSD |
| WinArk | Có | Có | Không | MIT |
| WinDbg | Có | Có (debug) | Có (kd) | Proprietary |
Use cases
- DFIR triage: liệt kê hidden process, kiểm callback integrity, scan driver loaded với LolDrivers ngay trong GUI.
- Malware reversing: phát hiện hooked syscall trong
ntdll, process hollowing, module stomping ở mẫu sống. - Rootkit research: soi SSDT hook, IRP dispatch tampering, EPT hook timing — vốn thường phải viết script WinDbg.
- Remote VM lab: chạy
WinSysServer.exetrong VM detonation, phân tích từ máy analyst, không cần snapshot+revert lặp lại. - Học OS internals: sinh viên/researcher có thể quan sát trực tiếp callbacks, SSDT, IRP dispatch trong runtime thay vì chỉ đọc Windows Internals book.
Trên thực tế, surface kernel-mode của NtWarden gần với những gì các vendor EDR thương mại quan sát — nên cũng là một sandbox tốt để hiểu vì sao một rootkit "vô hình" với Task Manager vẫn có thể bị bắt qua callback integrity hay LolDrivers signature check.
Limitations & pricing
Miễn phí, mã nguồn mở MIT. Nhưng có vài ràng buộc thật:
- Cần Administrator +
bcdedit /set testsigning on+ reboot để load KWinSys. Production host sẽ từ chối. - Giao thức TCP không có authentication — tác giả nói thẳng "isolated lab/VM environments only."
- Tác giả ghi chú: "Parts of this project were vibe coded with AI assistance so it might have some bugs." Kernel driver chỉ nên chạy trong test VM.
- Windows x64 only. Tested trên Windows 11 23H2 (22631.6199), Windows 10 22H2 (19045.2006) và Windows 10 1703 (15063.13).
What's next
Tác giả chưa công bố roadmap chính thức; dự án đang nhận bug report và contribution trong giai đoạn đầu. Với surface kernel-level rộng và license MIT, NtWarden có khả năng trở thành một nhánh nối tiếp WinArk cho cộng đồng research Windows internals — miễn là người dùng chấp nhận luật chơi: chỉ chạy trong VM, không bao giờ trên máy production.
Nguồn: github.com/mrT4ntr4/NtWarden, @VivekIntel announcement.
