[FR] Sysmon internals

Sysmon est l'un des outils "SysInternals", il permet de tracer une partie de l'activité d'une machine et la journalise dans des journaux d'événements. Cette présentation a pour but de présenter comment fonctionne Sysmon en interne, c'est à dire comment il intercepte l'activité du système. Une analyse de l'exécutable et du driver seront présentées afin de comprendre ses différentes méthodes d'interceptions et de journalisation. Dans un deuxième temps plusieurs règles d'identification de codes malveillants seront présentées et un retour d'expérience sur l'application du "deep learning" à ces données sera faite. Nous parlerons donc de reverse engineering, de noyau Windows, de techniques d'interception d'activité et enfin de détection de comportement malveillant.

A propos de Stéfan Le Berre @heurs