Sec Note
"It’s a pleasure and an honor to present to you once again." #avast #av #reverse
در این وبینار بررسی میکنیم که آنتیویروس Avast در عمل چگونه وارد مسیر اجرای Syscallها در کرنل ویندوز میشود.
با رویکرد Reverse Engineering، رفتار واقعی درایورها را بهصورت عملی دنبال میکنیم و دقیقاً مشخص میکنیم این مداخله در کدام بخش از کرنل اتفاق میافتد و چرا با وجود این تغییرات، PatchGuard مانع آن نمیشود.
تمرکز وبینار بر فهم عمیق مسیر اجرا، مکانیزمهای Self‑Defense، و بررسی استراکچرهای کرنلیای است که برای جلوگیری از این نوع هوک تغییر داده شدهاند، اما در نهایت همچنان قابل دور زدن بودهاند؛ جزئیاتی که تنها از طریق تحلیل عملی و دیباگ سطح کرنل قابل مشاهده هستند.
این وبینار مناسب افرادی است که میخواهند بدانند کنترل در سطح کرنل واقعاً چگونه اعمال میشود، نه اینکه صرفاً بدانند چنین کنترلی وجود دارد.
زمان برگزاری: یکشنبه، هفتم دی ماه
ساعت: ۲۱:۰۰
با رویکرد Reverse Engineering، رفتار واقعی درایورها را بهصورت عملی دنبال میکنیم و دقیقاً مشخص میکنیم این مداخله در کدام بخش از کرنل اتفاق میافتد و چرا با وجود این تغییرات، PatchGuard مانع آن نمیشود.
تمرکز وبینار بر فهم عمیق مسیر اجرا، مکانیزمهای Self‑Defense، و بررسی استراکچرهای کرنلیای است که برای جلوگیری از این نوع هوک تغییر داده شدهاند، اما در نهایت همچنان قابل دور زدن بودهاند؛ جزئیاتی که تنها از طریق تحلیل عملی و دیباگ سطح کرنل قابل مشاهده هستند.
این وبینار مناسب افرادی است که میخواهند بدانند کنترل در سطح کرنل واقعاً چگونه اعمال میشود، نه اینکه صرفاً بدانند چنین کنترلی وجود دارد.
زمان برگزاری: یکشنبه، هفتم دی ماه
ساعت: ۲۱:۰۰
👍22🔥6👎1👾1
Sec Note
UAC Bypass Chain Leading To Silent Elevation 👾 The Presentation Video My Blog: https://binary-win.github.io/2025/08/22/UAC-Bypass.html
Analyzing Avast AV: Kernel Hooking and Driver Reverse Engineering
👾Presentation Video
Blog:
https://binary-win.github.io/2025/12/27/AVAST-Kernel-Hooks-and-AV-ANALYSIS.html
👾Presentation Video
Blog:
https://binary-win.github.io/2025/12/27/AVAST-Kernel-Hooks-and-AV-ANALYSIS.html
👾8🔥4👍2🕊2
Analyzing CVE‑2025‑0287: From IOCTL Entry to Arbitrary Kernel Memory Write … in driver biontdrv.sys
By meisameb
By meisameb
🔥5👾5🕊3👍1
Registry Writes Without Registry Callbacks
#EDR #Persistence
The Bypass
Placing a crafted NTUSER.MAN in C:\Users\<target>\ loads persistence keys into HKCU on next logon. The hive is loaded directly from disk without invoking registry APIs.
CmRegisterCallbackEx monitors registry operations. Hive loads are not registry operations. The callbacks are not invoked.
Filesystem events will trigger. Writing the file to the profile directory is visible to any EDR monitoring file operations. Registry-focused detections remain blind.
#EDR #Persistence
👾7
Forwarded from Order of Six Angles
Malware Analysis - Malicious MS Office files without Macros
https://www.youtube.com/watch?v=RtHHckH5IsI
https://www.youtube.com/watch?v=RtHHckH5IsI
YouTube
Malware Analysis - Malicious MS Office files without Macros
We look at two techniques for MS Office files to load and execute malicious code without Macros, namely VSTO Add-ins and External Templates. At the end I provide a checklist for analyzing office files to determine if they are clean.
Discord: https://dis…
Discord: https://dis…
🔥3👍1
Dropping some tooling to assist with Windows RE (or any really); bulk download modules across all versions, search for call chains from references, immediates, instructions, etc. Has been useful for mass-analysis, cross-version diffing, variant analysis, and just generally locating candidates for more thorough investigation (ioctl dispatch, rpc handlers/chains, what functions eventually call a desired target).
analyze.py - IDA Pro 9.X Python for automated call chain analysis
runner.ps1 - PowerShell batch runner for mass binary analysis
download-all-versions.ps1 - Download historical binary versions + PDBs
https://github.com/daaximus/ida-reach/
👾4
New post: "Browser Dumping — The Core Tactic Behind Most Infostealers"
(This blog is mainly for sharing my personal notes and learning journey)
#stealer #browser #Chrome_AppBound
(This blog is mainly for sharing my personal notes and learning journey)
This blog contains my own research collected from the internet, along with ideas from other blogs and studies. While many parts are written in my own words, the Most sections were copied directly from external sources because they were already very well written and clearly expressed. This blog is mainly for sharing my personal notes and learning journey.
#stealer #browser #Chrome_AppBound
👾7
Sec Note
New post: "Browser Dumping — The Core Tactic Behind Most Infostealers" (This blog is mainly for sharing my personal notes and learning journey) This blog contains my own research collected from the internet, along with ideas from other blogs and studies.…
Wanna bypass chrome ABE? Read this and let the ideas flow
🔥6🕊1