Перейти к содержанию
AM_Bot

В ядре Windows ещё будут обнаруживаться уязвимости

Автор AM_Bot, в Общий форум по информационной безопасности

Recommended Posts

AM_Bot    47

AM_Bot
Опубликовано

Microsoft_Patches.jpgПосле выпуска множества патчей в этом году, у Microsoft может ещё остаться много работы, предупреждает докладчик конференции Black Hat.

Исследователь, обнаруживший фундаментальный изъян архитектуры ядра Windows, сообщил о том, что софтверный гигант проделал уже большую работу по устранению недостатков, но вполне возможно, что ещё будет обнаружено множество уязвимостей перед тем, как эта работа будет завершена.

Читать далее

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Илья Рабинович    521

Илья Рабинович
Опубликовано

Нет такого операционного окружения как Win32.sys, есть Win32(64) UI-подсистема (включает GUI и CUI), которая и реализовывается средствами драйвера win32k.sys.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Valery Ledovskoy    1082

Valery Ledovskoy
Опубликовано

операционного окружения [кого-чего?] Win32.sys.

Win32.sys operating environment

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Общий форум по информационной безопасности

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.11.8
      ---------------------------------------------------------
       o Управление DNS логом вынесено в отдельные твики, #41 и #42.
         DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
         Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
         в последнем случае необходимо перезагрузить систему после 42 твика.
         (Win7 и ниже не поддерживается).  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      да, выглядит странно, может быть CommandLineEventConsumer чем-то уже удален, антивирус какой-нибудь неаккуратно поработал.
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      здесь почему то нет потребителя события c5br1lMhB Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"" что это может быть? скрипт, который был недоступен на момент создания образа? запуск майнера был: C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON но чем был вызван запуск - не смогли отследить. (зачистили без regt 39)                              IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      привет, любой запуск процесса отслеживается, не важно что его запустило, дополнительно в wmi-activity разве что dll можно считать, которые подсаживались в wmiprvse.exe, толку только от этого.
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Привет. Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI, аналогично тому, как это выполняется сейчас в uVS через твик 39? (т.е. доп. события пишутся системой в лог WMI-Activity.evtx и затем экспортируются нужное в образ автозапуска) или это уже работает сейчас?  
×