Не так давно мы рассказывали про плагин exploitmon для системы динамического анализа вредоносных файлов DRAKVUF. Алексей Вишняков из #PTExpertSecutiyCenter продолжает делиться в нашем блоге на Habr полезной информацией. Главным героем сегодняшнего поста стал еще один плагин в этой системе — rpcmon.
Из нового материала вы узнаете:
🔴 про особенности механизма межпроцессного взаимодействия,
🔴 о подходах к обнаружению важных вызовов на пользовательском уровне,
🔴 о том, как это реализовано в #PTSandbox,
🔴 в каких случаях перехваты на уровне ядра недостаточно информативны или вовсе бесполезны.
Из нового материала вы узнаете:
🔴 про особенности механизма межпроцессного взаимодействия,
🔴 о подходах к обнаружению важных вызовов на пользовательском уровне,
🔴 о том, как это реализовано в #PTSandbox,
🔴 в каких случаях перехваты на уровне ядра недостаточно информативны или вовсе бесполезны.