Fibratus - Explorer le noyau Windows
Si vous faites un peu de debugging et/ou de reverse engineering sous Windows, je vous présente Fibratus.
Fibratus est un outil d’exploration et de traçage du noyau de Windows qui permet de capturer des événements système comme le cycle de vie des processus, les entrées/sorties du système de fichiers, les modifications du registre ou les demandes réseau parmi de très nombreux autres signaux observables.
Fibratus offre une observation approfondie du noyau Windows, mais également des processus s'exécutant sur ce noyau. Avec cet outil, vous pourrez collecter de très nombreux événements, les filtrer, lancer des scripts python dessus, capturer les flux dans des fichiers kcap pour les rejouer ensuite, d'analyser des binaires PE, sans oublier des possibilités d'export vers des ElasticSearch, RabbitMQ...etc.Une intégration avec Yara de VirusTotal permet également de scanner les processus et les fichiers à la recherche de malware.