Winbagility : Débogage furtif et introspection de machine virtuelle — Nicolas Couffin
Date : 02 June 2016 à 12:15 — 30 min.
Lorsqu'un analyste souhaite réaliser l’étude du comportement d’un système sous Windows, peu de choix s’offrent à lui. Il doit passer le système en mode /DEBUG et se connecter avec le débogueur de Microsoft (WinDbg) au serveur KD qui se situe dans le noyau du système à analyser.
L'inconvénient majeur de cette solution est que le comportement du système se retrouve alors modifié par l’environnement de débogage.
Au cours de cette présentation, nous détaillons notre approche d’introspection et de débogage furtif de machine virtuelle et nous discutons de l’architecture et de l’implémentation de Winbagility.
Winbagility est une réalisation de débogueur furtif fondé sur un hyperviseur VirtualBox modifié, permettant d’utiliser la majeure partie des fonctionnalités de WinDbg sans passer le système en mode /DEBUG.