「Abusing Interrupts for Reliable Windows Kernel Exploitation」というタイトルで発表した
昨年に引き続き、AVTOKYOで発表した。
Also English version is available.
カーネルエクスプロイトでIDTを利用する手法自体はすでに知られているものであるが、具体的な詳細に触れたものがあまり見つからなかったため発表することにした。 なお、Linuxでも同様にIDTを書き換えることで権限昇格を行うPoCが知られている(参考)。
PolymorphicなエンコーダShinoEncodeやATMマルウェアの詳細など、他の発表も興味深いものが多く、参考になった。 ありがとうございました。