Комментарии 2
"С их помощью агент перехватывает системные вызовы, скрывает себя из списка директорий и запущенных процессов."
Автор хотел пошутить так? Я бы посмотрел как на обычной windows 10 с включённым PatchGuard работало такое. Или агенты ставятся на машине и отключают системы защиты, чтобы так спокойно хукать SSDT и патчить ядро...
Часть о системных вызовах относится к агенту для Linux. Из-за введения Patchguard еще Win7 x64 и депрекации таблицы дескрипторов системных вызовов функциональность windows-агента в этом плане несколько ограничена по сравнению с Linux. Впрочем, он также хорошо выполняет задачи по деплою приманок (хлебных крошек).
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Внедрение агентов и конфликт с антивирусами — как мы делаем собственную Deception-систему, и как она работает