Это видео предоставлено Себастьеном Дюкеттом и http://recon.cx.
Это видео распространяется по лицензии Creative Commons CC-BY.
Kernel Shim Engine — это аналог ядра для пользовательского режима shim engine (ShimEng). Хотя последний сейчас довольно хорошо исследован, KSE остается загадкой. Впервые представленный в Windows XP как просто слой совместимости Plug-and-Play для пользовательских флагов реестра, он превратился в почти полноценную реализацию Shim Engine с возможностью злоупотребления им как для персистентности, так и для скрытых перехватов в ядре. В этом докладе вы узнаете, как использовать KSE для перехвата драйверов (таблиц диспетчеризации, IRP и точек входа), а также API ядра как легитимно, так и нелегитимно. Вы также увидите некоторые скрипты и методы WinDBG для обнаружения и перечисления установленных оболочек ядра для криминалистических целей. Наконец, на конференции планируется выпустить инструмент под названием DriverMon, который использует KSE для предоставления ProcMon для драйверов.
Пожалуйста, воспользуйтесь возможностью и поделитесь этим видео с друзьями и семьей, если вы найдете его полезным.
No Comments