Attacks on Event Tracing for Windows: Techniques and Countermeasures
Útoky na Event Tracing for Windows: Techniky a protiopatření
Authors
Supervisors
Reviewers
Editors
Other contributors
Journal Title
Journal ISSN
Volume Title
Publisher
České vysoké učení technické v Praze
Czech Technical University in Prague
Czech Technical University in Prague
Date of defense
Abstract
Event Tracing for Windows (ETW) je platforma pro monitorování systému integrovaná v Microsoft Windows. Kromě nástrojů na monitorování systému je také hojně využívána bezpečnostním softwarem. V posledních letech roste počet útoků na monitorovací nástroje, primárně s cílem skrývat tím jinou škodlivou aktivitu. Tato práce zkoumá techniky používané k oslepení či vypnutí ETW, analyzuje nedávný útok proti monitorovacím nástrojům a zkoumá možnosti detekce a prevence podobných útoků v budoucnosti.
Event Tracing for Windows (ETW) is a system monitoring platform integrated into Microsoft Windows. Aside from system monitoring tools, it is also heavily used by security software. In recent years there is a growing number of attacks on system monitoring tools, primarily in order to conceal other malicious activity. This thesis explores current techniques to blind or disable ETW, analyzes a recent attack targetting system monitoring on Windows and discusses ways to detect and prevent similar attacks in the future.
Event Tracing for Windows (ETW) is a system monitoring platform integrated into Microsoft Windows. Aside from system monitoring tools, it is also heavily used by security software. In recent years there is a growing number of attacks on system monitoring tools, primarily in order to conceal other malicious activity. This thesis explores current techniques to blind or disable ETW, analyzes a recent attack targetting system monitoring on Windows and discusses ways to detect and prevent similar attacks in the future.
Description
Citation
Underlying research data set URL
Permanent link
Rights/License
A university thesis is a work protected by the Copyright Act of the Czech Republic. Extracts, copies and transcripts of the thesis are allowed for personal use only and at one`s own expense. The use of thesis should be in compliance with the Copyright Act.
Vysokoškolská závěrečná práce je dílo chráněné autorským zákonem. Je možné pořizovat z něj na své náklady a pro svoji osobní potřebu výpisy, opisy a rozmnoženiny. Jeho využití musí být v souladu s autorským zákonem v platném znění.
Vysokoškolská závěrečná práce je dílo chráněné autorským zákonem. Je možné pořizovat z něj na své náklady a pro svoji osobní potřebu výpisy, opisy a rozmnoženiny. Jeho využití musí být v souladu s autorským zákonem v platném znění.