Chaque processus en cours d’exécution dans Windows est associé à un EPROCESS au niveau du noyau. Découvrons ensemble à quoi sert cette structure de données.
AuthorLi_in
Rootkit Windows : Elevation de privilège #1
Technique permettant de copier le jeton d’accès d’un processus vers un autre processus
PrintIsolationHost.exe
PrintIsolationHost.exe sert d’hôte pour l’exécution isolé des pilotes (drivers) d’impression.
(* (void(*)()) shellcode )( )
Quelle est la signification de cette obscure expression utilisée pour exécuter un shellcode : (*(void(*)()) shellcode)()
wmic.exe
wmic.exe est l’utilitaire de ligne de commande WMI fournit une interface de ligne de commande pour Windows Management Instrumentation (WMI)
.VIR
Un fichier **.VIR** désigne tout type de fichier infecté par un virus informatique et renommé par un logiciel antivirus
gpupdate.exe
gpupdate.exe permet de mettre à jour les paramètres de stratégie de groupe (GPO)
consent.exe
consent.exe est chargé de lancer l’interface utilisateur de contrôle de compte d’utilisateur (UAC).
Vrai ou Faux Positif ?
[ Analyste SOC ] Comment faire la différence entre un vrai et un faux positif
csrss.exe
csrss.exe (sous-système d’exécution client/serveur) est le processus en mode utilisateur du sous-système Windows.