メモリパッチによるAPIフックコードの実装をやってみる 今回は後学のために，FridaやMicrosoft Detoursなどの便利なライブラリやフレームワークに頼らないAPIフックコードの実装をやってみる． フック処理を行うプログラムをDLLとして作成し，これをターゲッ…

Windowsにカーネルドライバを読み込ませてみる カーネルドライバを作成し，Windowsシステムにロードさせてみる． まず以下を参考にドライバ開発環境を用意する． 初めてのドライバーの作成 - Windows drivers | Microsoft Docs 環境 VirtualBox上にWindowsホ…

Transactional NTFS利用による Process Doppelgangingをやってみる マルウェアなどがAVスキャナーからの検知を逃れるために使う手法の１分野にProcess Injctionがある． 本記事では以下のリポジトリを参考に，Process Injction手法の１つであるTransactional…

WinDbgでVirtualBox上のWindowsホストをカーネルモードデバッグする 環境 ホストのバージョンは以下。 PS C:\Users\ry0kvn> systeminfo OS 名: Microsoft Windows 10 Home OS バージョン: 10.0.18363 N/A ビルド 18363 WinDbg Previewのバージョンは以下。 D…

メモリパッチによるmsv1_0!SpAcceptCredentialsのフックをやってみる Windowsは対話型のユーザー名/パスワードベースのログオン用に2つの認証パッケージ、すなわちMSV1_0とKerberosを使用する。 後者はよく知られているように、ドメインのログオン用に利用さ…