Windows Internals for Reverse Engineers

Instructeur:  Yarden Shafir
Dates:  15 au 18 juin 2026
Capacité:  25

Couvrant Windows 11 (24H2 + 25H2), le prochain Windows 11 26H2 et Server 2025, vous découvrirez comment fonctionnent les bootkits, les implants de chaîne d'approvisionnement logiciel, les portes dérobées et autres logiciels malveillants du noyau et du micrologiciel. Vous apprendrez comment eux, et d'autres, abusent de diverses fonctionnalités système, mécanismes obscurs et structures de données, afin de faire leur sale travail, et comment vous pouvez également vous en défendre! Vous observerez et expérimenterez comment le code en mode noyau fonctionne et comment il peut être compromis par des attaquants en mode utilisateur souhaitant élever leurs privilèges, ainsi que comment détecter, à la fois en direct et de manière criminalistique, de telles tentatives. Enfin, vous apprendrez comment l'architecture CPU est profondément liée à la conception de l'OS, et comment les erreurs d'Intel et AMD peuvent mener à plus de pwnage. Nous couvrirons les nouveaux changements du noyau Windows 11, incluant Kernel Data Protection (KDP), Kernel Control-flow Enforcement Technology (KCET) et Kernel Address Sanitizer (KASAN), et expliquerons comment le Trusted Platform Module (TPM) est utilisé pour Measured Boot. Nous entrerons dans l'Enclave et apprendrons sur Runtime Attestation, Code Integrity et le framework Secure Launch réécrit qui exploite Intel TXT et AMD SKINIT pour une nouvelle attestation basée sur DRTM.

Plan du cours

Couvrant Windows 11 (24H2 + 25H2), le prochain Windows 11 26H2 et Server 2022, vous découvrirez les secrets de comment fonctionnent les bootkits, les implants de chaîne d'approvisionnement logiciel, les portes dérobées et autres logiciels malveillants du noyau et du micrologiciel. Vous apprendrez comment eux, et d'autres, abusent de diverses fonctionnalités système, mécanismes obscurs et structures de données, afin de faire leur sale travail, et comment vous pouvez également vous en défendre!

Vous observerez et expérimenterez comment le code en mode noyau fonctionne et comment il peut être compromis par des attaquants en mode utilisateur souhaitant élever leurs privilèges, ainsi que comment détecter, à la fois en direct et de manière criminalistique, de telles tentatives. Enfin, vous apprendrez comment l'architecture CPU est profondément liée à la conception de l'OS, et comment les erreurs d'Intel et AMD peuvent mener à plus de pwnage.

Nous couvrirons les nouveaux changements du noyau Windows 11, incluant Kernel Data Protection (KDP), Kernel Control-flow Enforcement Technology (KCET) et Kernel Address Sanitizer (KASAN), et expliquerons comment le Trusted Platform Module (TPM) est utilisé pour Measured Boot. Nous entrerons dans l'Enclave et apprendrons sur Runtime Attestation, Code Integrity et le framework Secure Launch réécrit qui exploite Intel TXT et AMD SKINIT pour une nouvelle attestation basée sur DRTM.

Bien sûr, nous discuterons également des fondamentaux clés de Windows 10 tels que Virtual Trust Levels (VTL) combinés avec Virtualization Based Security (VBS), et comment ces technologies permettent à HyperVisor Code Integrity (HVCI) et Kernel Control Flow Guard (KCFG) de prévenir l'exécution de code noyau non signé, même face à des vulnérabilités Ring 0, tout en alimentant également Biometric Isolation et Credential Guard, rendant les attaques pass-the-hash virtuellement impossibles. Les Enclaves et l'Attestation, à la fois via Software Guard Extensions (SGX) et VBS, et Measured Boot basé sur TPM, seront également au menu.

Windows 10 s'appuie sur de nombreux mécanismes de Windows 8.1 tels que Protected Process Light et les politiques de signature de code personnalisées, donc nous réviserons cela également, plus les nouvelles fonctionnalités du noyau Windows 8 (AppContainer, Secure Boot, et plus) pertinentes pour l'opération des pilotes et les techniques d'exploitation seront discutées, incluant un aperçu de plus de deux douzaines de nouvelles atténuations de sécurité qui ont été ajoutées au système d'exploitation.

Nous verrons comment ces changements à l'architecture ont considérablement contraint les techniques d'exploitation. Les changements du noyau Windows 7 seront également discutés, tels que les nouvelles structures de données Object Manager.

Tout en apprenant la théorie, vous utiliserez des outils tels que WinDbg, SysInternals Tools et Process Hacker pour analyser, tester et sonder les composants Windows en mode noyau, ainsi qu'écrire vos propres commandes de débogueur exploitant les nouvelles capacités et prédicats NatVis/LINQ, ainsi qu'écrire des scripts JavaScript (ECMAScript 6) utilisant leur nouveau moteur de débogueur.

Tout au long du cours, nous nous concentrerons sur l'utilisation de diverses techniques et outils pour inspecter le noyau Windows pour la cohérence, tracer son fonctionnement et le modifier, ainsi que les façons dont les attaquants offensifs et défensifs peuvent jouer avec l'état du système de manières inattendues et "propres". Nous donnerons également plusieurs exemples de pilotes malveillants et/ou bogués dans un système Windows typique, ainsi que des bugs architecturaux sur la durée de vie de Windows.

Les participants reçoivent un document physique de l'ensemble des supports de cours pour référence future, plus un ensemble complet de plus de 40 scripts WinDbg que les instructeurs ont écrits au cours de leur vie, et toutes les commandes/sorties qui ont été utilisées dans le cours. Le partage de presse-papiers en direct sera disponible pour faciliter l'apprentissage.

Exigences

Matériel/Logiciel:

• Vous devez avoir une machine Windows pour assister, et vous devriez avoir le Windows Driver Kit 11 release pour 22H2 ou ultérieur (22621), que vous pouvez obtenir gratuitement sur MSDN
• Une machine virtuelle (VirtualBox ou Hyper-V sont fortement préférés, configurés en mode UEFI + Hyper-V pour les meilleures performances) est recommandée avec une version installée de Windows 11
• Localement, toute version de Windows 7 ou supérieure, 32-bit ou 64-bit convient, mais il est fortement préféré que vous apportiez un ordinateur Windows 10 ou 11
• Vous devriez installer le Windows Driver Kit sur votre hôte, pas la VM. Si vous avez un appareil Linux ou Mac, alors vous pouvez soit installer le Windows Driver Kit sur la VM elle-même, ou, mieux encore, utiliser deux machines virtuelles séparées
• Les instructeurs utiliseront un appareil Windows 11 64-bit
• GHIDRA/IDA/HexRays utile, mais pas requis

BIO

Yarden Shafir est chercheuse en vulnérabilités pour Vigilant Labs et consultante pour Winsider Seminars & Solutions Inc., co-enseignant des formations en sécurité. Précédemment, elle a travaillé chez Trail of Bits, CrowdStrike et SentinelOne, travaillant sur les fonctionnalités EDR et la recherche Windows. En dehors de ses fonctions principales, Yarden écrit des articles et des outils et donne des conférences sur divers sujets tels que les internes du Pool, les internes CET, le hooking d'hôte d'extension et les atténuations d'exploits du noyau. En dehors de l'infosec, Yarden est une artiste de cirque, enseignant et performant des arts aériens.

Pour s'inscrire

Cliquez ici pour vous inscrire.