Si un utilisateur souhaite faire tourner du code en mode kernel (noyau). Il doit alors créer un drivers. Les drivers sont comme des extensions du système d’exploitation, qui tournent avec les droits les plus élevées du système. En général, les pilotes de périphériques et les périphériques ne créent pas du tout de processus. Un fichier
AuthorLi_in
Rootkit Windows : Elevation de privilège #1
Technique permettant de copier le jeton d’accès d’un processus vers un autre processus
PrintIsolationHost.exe
PrintIsolationHost.exe sert d’hôte pour l’exécution isolé des pilotes (drivers) d’impression.
(* (void(*)()) shellcode )( )
Quelle est la signification de cette obscure expression utilisée pour exécuter un shellcode : (*(void(*)()) shellcode)()
wmic.exe
wmic.exe est l’utilitaire de ligne de commande WMI fournit une interface de ligne de commande pour Windows Management Instrumentation (WMI)
.VIR
Un fichier **.VIR** désigne tout type de fichier infecté par un virus informatique et renommé par un logiciel antivirus
gpupdate.exe
gpupdate.exe permet de mettre à jour les paramètres de stratégie de groupe (GPO)
consent.exe
consent.exe est chargé de lancer l’interface utilisateur de contrôle de compte d’utilisateur (UAC).
Vrai ou Faux Positif ?
[ Analyste SOC ] Comment faire la différence entre un vrai et un faux positif