github.com 1. ツール全体の目的と攻撃フロー 2. ファイル構成と役割 3. ntdefs.h — 未公開API定義の意図 UNICODE_STRING構造体（ntdefs.h 4-9行目） SYSTEM_PROCESS_ID_INFORMATION構造体（ntdefs.h 11-15行目） SYSTEM_INFORMATION_CLASS列挙型（ntdefs.h …

github.com 概要 攻撃フロー全体像 コア技術：Windows Bind Filter（bindfltapi.dll） Bind Filter とは何か なぜ Bind Filter が EDR 妨害に有効なのか コード上の実装（EDRStartupHinder.cpp 13–18行目） BindLnk.h の型定義と引数の意味 DLL の「改ざん」…

github.com 1. ツール概要と攻撃コンセプト 1.1 攻撃の本質 1.2 ファイル構成と役割 2. エントリポイント：wmain() 2.1 SeDebugPrivilegeの有効化 2.2 メインスレッドID取得とFreezeRun呼び出し 3. 権限昇格：EnableDebugPrivilege() 3.1 トークン取得 3.2 L…

github.com 1. プロジェクト概要 2. Implant (エージェント) 詳細 2.1 エントリポイントとライフサイクル ビルド形態 起動シーケンス (entry.rs: start_wyrm()) カスタムアロケータ (utils/allocate.rs) 2.2 コンパイル時設定の埋め込み (utils/comptime.rs,…

github.com このリポジトリはBYOVD (Bring Your Own Vulnerable Driver) 攻撃手法の研究資料です。以下、セキュリティ専門家向けに深掘りした技術解説を行います。 技術的知識追加: BYOVDとは? BYOVDは、攻撃者が正規の署名付きだが脆弱なドライバをシステム…