Ring 0 Army Knife (r0ak) Instrumentul de executare pentru citire, scriere și depanare lansat înainte de Black Hat SUA 2018

Știri
Windows / Ring 0 Army Knife (r0ak) Instrumentul de executare pentru citire, scriere și depanare lansat înainte de Black Hat SUA 2018 2 minute citite

Softpedia



Într-un tweet realizat de Alex Ionescu, vicepreședinte al Strategiei EDR la CrowdStrike, Inc., el a anunțat lansarea Ring 0 Army Knife (r0ak) la GitHub la timp pentru conferința de securitate a informațiilor Black Hat SUA 2018. El a descris instrumentul fără driver și încorporat pentru toate sistemele de domenii Windows: Windows 8 și versiunile ulterioare. Instrumentul permite executarea Ring 0 de citire, scriere și depanare în mediile Hypervisor Code Integrity (HVCI), Secure Boot și Windows Defender Application Guard (WDAG), fapt care este adesea dificil de realizat în aceste medii în mod natural.

activați comprimarea fișierelor și folderelor ssd

Alex Ionescu este așteptat vorbi la conferința Black Hat SUA din acest an programată în perioada 4-9 august în Mandalay Bay, Las Vegas. 4-7 august va consta în ateliere de instruire tehnică, în timp ce 8 și 9 august vor avea loc discursuri, briefinguri, prezentări și săli de afaceri ale unora dintre cele mai importante nume din lumea securității IT, inclusiv Ionescu, în speranța de a împărtăși cele mai recente cercetări. , dezvoltare și tendințe în comunitatea de securitate IT. Alex Ionescu prezintă o discuție intitulată „Facilitatea de notificare Windows: Desprinderea cepei celei mai nedocumentate suprafețe de atac a nucleului de până acum”. Lansarea sa înainte de discuții pare chiar pe aleea a ceea ce vrea să vorbească.



La această conferință se așteaptă ca instrumentele open source și exploatările de zero zile să fie partajate deschis la această conferință și pare potrivit că Ionescu tocmai a ieșit cu un instrument de execuție gratuit de citire, scriere și depanare Ring 0 pentru Windows. Unele dintre cele mai mari provocări cu care se confruntă platforma Windows includ limitele Windows Debugger și SysInternal Tools, care sunt esențiale pentru depanarea IT. Deoarece acestea sunt limitate în accesul propriu la API-urile Windows, instrumentul lui Ionescu apare ca o remediere rapidă de urgență binevenită pentru a depana rapid problemele la nivel de nucleu și sistem care în mod normal ar fi imposibil de analizat.

Inel 0 Cuțit de armată de Alex Ionescu. GitHub

Deoarece numai funcționalitățile Windows preexistente, încorporate și semnate de Microsoft sunt utilizate, toate funcțiile numite făcând parte din bitmap-ul KCFG, acest instrument nu încalcă nici o verificare de securitate, nu solicită nicio creștere de privilegii sau folosește orice 3rdșoferii de partid să își desfășoare operațiunile. Instrumentul funcționează pe structura fundamentală a sistemului de operare prin redirecționarea fluxului de execuție a verificărilor de validare a fontului de încredere ale administratorului ferestrei pentru a primi o notificare asincronă de urmărire a evenimentelor pentru Windows (ETW) cu privire la execuția completă a elementului de lucru (WORK_QUEUE_ITEM) pentru eliberare a bufferelor în modul kernel și restabilirea funcționării normale.



Deoarece acest instrument rezolvă limitările altor astfel de funcționalități în Windows, acesta vine cu propriul set de limitări. Cu toate acestea, acestea sunt cele pe care specialiștii IT sunt dispuși să le facă față, deoarece instrumentul permite executarea cu succes a procesului de bază necesar. Aceste limitări constau în faptul că instrumentul poate citi doar 4 GB de date la un moment dat, scrie până la 32 de biți de date la un moment dat și poate executa numai funcții de parametru scalar. Aceste limitări ar fi putut fi depășite cu ușurință dacă instrumentul ar fi fost programat într-un mod diferit, dar Ionescu susține că a ales să păstreze instrumentul în acest fel, deoarece reușește să efectueze eficient ceea ce își propune să facă și asta este tot ceea ce contează.