#ShortNote
سیستم کال های جایگزین چی هستند ؟
سیستم کال های جایگزین (Alt Syscalls) یک قابلیت مخفی و مستند سازی نشده در کرنل ویندوز هستند که اجازه می دهند پیش از اجرای یک system call، یک تابع در کرنل اطلاعات مربوط به آن را دریافت و پردازش کند. این ویژگی یک مزیت بزرگ برای آنتی ویروس ها و نرم افزارهای شناسایی و پاسخ به تهدید (EDR) به شمار می رود.
کاربرد اصلی:
مدت هاست که امکان hook کردن مستقیم سیستم کال ها به دلیل وجود PatchGuard وجود ندارد چرا که PatchGuard تغییرات در ساختار های حساس کرنل مانند جدول System Service Dispatch (SSDT) یا توابع Nt را شناسایی و مسدود میکند.
به همین دلیل Alt Syscalls راهی مخفی تر و ایمن تر برای مانیتور کردن سیستم کالها در سطح کرنل فراهم میکنند و به لطف تلاش محققان حوزه امنیت و تحلیل باینری، دیگه این قابلیت کاملاً ناشناخته نیست و با یک جستجوی ساده میتوان پیاده سازی های مربوط به نسخههای ویندوز 10 و 11 را پیدا کنید.
🦅 کانال بایت امن | گروه بایت امن
_
سیستم کال های جایگزین چی هستند ؟
سیستم کال های جایگزین (Alt Syscalls) یک قابلیت مخفی و مستند سازی نشده در کرنل ویندوز هستند که اجازه می دهند پیش از اجرای یک system call، یک تابع در کرنل اطلاعات مربوط به آن را دریافت و پردازش کند. این ویژگی یک مزیت بزرگ برای آنتی ویروس ها و نرم افزارهای شناسایی و پاسخ به تهدید (EDR) به شمار می رود.
کاربرد اصلی:
مدت هاست که امکان hook کردن مستقیم سیستم کال ها به دلیل وجود PatchGuard وجود ندارد چرا که PatchGuard تغییرات در ساختار های حساس کرنل مانند جدول System Service Dispatch (SSDT) یا توابع Nt را شناسایی و مسدود میکند.
به همین دلیل Alt Syscalls راهی مخفی تر و ایمن تر برای مانیتور کردن سیستم کالها در سطح کرنل فراهم میکنند و به لطف تلاش محققان حوزه امنیت و تحلیل باینری، دیگه این قابلیت کاملاً ناشناخته نیست و با یک جستجوی ساده میتوان پیاده سازی های مربوط به نسخههای ویندوز 10 و 11 را پیدا کنید.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13❤8👍7🤩2🎉1