Организатор
Организую Складчины
Команда форума
- Сообщения
- 602 715
- Реакции
- 12 977
- Монеты
- 325
- Оплачено
- 1
- Ссылка на картинку
Разработка продвинутых инструментов наступательной безопасности под ядро Windows, включая манипуляции
с объектами ядра, отключение телеметрии EtW, получение и сохранение примитивов READ+WRITE в ядре Windows, и многое другое.
Пришло время сосредоточиться на ядре Windows и его внутренней работе, чтобы понять, как можно использовать доступ для чтения / записи к объектам ядра из пользовательского пространства.
В числе тем:
Пришло время сосредоточиться на ядре Windows и его внутренней работе, чтобы понять, как можно использовать доступ для чтения / записи к объектам ядра из пользовательского пространства.
В числе тем:
- обсуждаем разницу между режимами пользователя и ядра, способы взаимодействия с драйверами ядра и прямые манипуляции с объектами ядра (DKOMs)
- кодирование с использованием стороннего интерфейса драйвера
- доступ к объектам ядра из пользовательского пространства
- поиск и злоупотребление дескрипторами для обхода средств защиты
- манипулирование токенами для получения более высоких привилегий (изменение пользователей, уровней целостности и снятие ограничений токенов)
- создание полностью защищенного процесса
- использование различных стратегий для поиска поставщиков ETW в ядре Windows
- удаление обратных вызовов ядра для процессов, потоков, образов, дескрипторов и событий, связанных с реестром
- сохранение примитивов R+W без драйвера ядра
- чтение и обход списков блокировки уязвимых драйверов
- поиск уязвимых драйверов и смещений ядра
Показать больше
