One Article Review
| Source |  Mandiant |
|---|---|
| Identifiant | 8377746 |
| Date de publication | 2018-04-23 10:00:00 (vue: 2023-09-01 14:42:16) |
| Titre | Chargement de code de coquille du noyau Loading Kernel Shellcode |
| Texte | Dans le sillage des récents décharges d'outils de piratage, l'équipe Flare a vu un pic dans des échantillons de logiciels malveillants détonant le shellcode du noyau.Bien que la plupart des échantillons puissent être analysés statiquement, l'équipe Flare débogue parfois ces échantillons pour confirmer des fonctionnalités spécifiques.Le débogage peut être un moyen efficace de contourner l'emballage ou l'obscurcissement et d'identifier rapidement les structures, les routines système et les processus auxquels un échantillon de shellcode de noyau accéde.
Ce message commence une série centrée sur l'analyse des logiciels du noyau et présente un outil qui utilise un pilote de noyau Windows personnalisé pour charger et exécuter le noyau Windows
In the wake of recent hacking tool dumps, the FLARE team saw a spike in malware samples detonating kernel shellcode. Although most samples can be analyzed statically, the FLARE team sometimes debugs these samples to confirm specific functionality. Debugging can be an efficient way to get around packing or obfuscation and quickly identify the structures, system routines, and processes that a kernel shellcode sample is accessing. This post begins a series centered on kernel software analysis, and introduces a tool that uses a custom Windows kernel driver to load and execute Windows kernel |
| Notes | ★★★★ |
| Envoyé | Oui |
| Condensat | accessing although analysis analyzed around begins can centered confirm custom debugging debugs detonating driver dumps efficient execute flare functionality get hacking identify introduces kernel load loading malware most obfuscation packing post processes quickly recent routines sample samples saw series shellcode software sometimes specific spike statically structures system team these tool uses wake way windows |
| Tags | Malware Tool Technical |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.