کانال بایت امن
4.52K subscribers
415 photos
49 videos
34 files
586 links
برگزاری دوره های آموزش برنامه نویسی و امنیت نرم افزار.

https://dword.ir
@YMahmoudnia
Download Telegram
#ShortNote

سیستم کال های جایگزین چی هستند ؟

سیستم‌ کال‌ های جایگزین (Alt Syscalls) یک قابلیت مخفی و مستند سازی‌ نشده در کرنل ویندوز هستند که اجازه می‌ دهند پیش از اجرای یک system call، یک تابع در کرنل اطلاعات مربوط به آن را دریافت و پردازش کند. این ویژگی یک مزیت بزرگ برای آنتی‌ ویروس‌ ها و نرم‌ افزارهای شناسایی و پاسخ به تهدید (EDR) به‌ شمار می‌ رود.

کاربرد اصلی:

مدت‌ هاست که امکان hook کردن مستقیم سیستم‌ کال‌ ها به دلیل وجود PatchGuard وجود ندارد چرا که PatchGuard تغییرات در ساختار های حساس کرنل مانند جدول System Service Dispatch (SSDT) یا توابع Nt را شناسایی و مسدود می‌کند.

به همین دلیل Alt Syscalls راهی مخفی‌ تر و ایمن‌ تر برای مانیتور کردن سیستم‌ کال‌ها در سطح کرنل فراهم می‌کنند و به لطف تلاش محققان حوزه امنیت و تحلیل باینری، دیگه این قابلیت کاملاً ناشناخته نیست و با یک جستجوی ساده می‌توان پیاده‌ سازی‌ های مربوط به نسخه‌های ویندوز 10 و 11 را پیدا کنید.

🦅 کانال بایت امن | گروه بایت امن
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥138👍7🤩2🎉1