Catégories
conférences

SSTIC 2009 – Analyse dynamique depuis l’espace noyau avec Kolumbo

Présentateur : Julien Defossez

En clair Kolumbo est un programme permettant d’intercepter les appels systèmes. Ces appels systèmes permettent l’accès à la mémoire, à des fichiers, à des périphériques et donc de tracer le programme exécuté. Kolumbo possède en outre des modes permettant de contrer les mécanismes de protection utilisés par les programmes malveillants : le chiffrement des binaires (car utilisé en mode noyau), des mécanismes anti-trace.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *