Fork del VMM NoirVisor con soporte Intel VT-x/EPT y AMD SVM/NPT, instalado en caliente (hot-load / bluepill) sobre un sistema operativo en ejecución sin necesidad de reinicio. Aportación principal: implementación de EPT shadow pages con discriminación por RIP, de modo que los accesos de lectura procedentes de motores EDR o anti-cheat reciben una vista controlada de la página, mientras que la ejecución del propio módulo —residente en el mismo rango virtual— opera sobre el contenido real. Mitigación a nivel de hardware frente a técnicas de detección por inspección de memoria.
Investigación de seguridad sobre un driver firmado perteneciente a un proveedor comercial del sector. Reversing del esquema de autenticación —basado en un PRNG lineal (LCG)— y desarrollo de un PoC que evade dicha autenticación para invocar el IOCTL de lectura, obteniendo una primitiva de lectura arbitraria de memoria física desde modo usuario, aplicable a bypass de KASLR y volcado selectivo de estructuras del kernel. Advisory técnico y exploit funcional desarrollados; detalles bajo embargo hasta la publicación del CVE correspondiente.
Toolkit para la rotación controlada de identificadores de hardware (MAC, número
de serie de disco, CPUID expuesto vía WMI, EDID y SSID). Implementa un
upper-filter de almacenamiento que reescribe el
STORAGE_DEVICE_DESCRIPTOR y un filtro NDIS Light-Weight sobre OIDs
de red, sincronizados con una utilidad de espacio de usuario a través de memoria
compartida y una máquina de estados sin operaciones de E/S observables.
Plataforma backend para emisión de licencias, telemetría y distribución modular con cifrado en stream (AES-256-CBC), orientada a loaders. Incorpora firmas HMAC Canary para prevenir replay de tokens y un módulo automatizado de procesado de huellas de manipulación (Burn Markers). Desplegada bajo Docker Swarm con Traefik como reverse proxy y PostgreSQL como capa de persistencia, sobre infraestructura VPS propia.
Driver de Windows desarrollado in-house como plataforma instrumental
de investigación a nivel de kernel. Expone primitivas de lectura/escritura sobre
memoria física y virtual, volcado en caliente de drivers ya cargados y
descomprimidos en memoria —incluidos módulos protegidos—, enumeración de
callbacks registrados (PsSetCreateProcessNotifyRoutine,
ObRegisterCallbacks) y trazado de hooks sobre tablas del sistema.
Constituye la base operativa sobre la que se apoya el resto del análisis de
drivers comerciales.
Análisis estático con Ghidra sobre las muestras en disco y,
mediante el driver kernel propio, volcado en runtime de los
componentes ya cargados y descomprimidos en memoria, sobre los
que se aplica ingeniería inversa completa. Investigación documentada sobre
BattlEye (BEDaisy.sys), que incorpora un
virtualizador custom sobre el runtime elevando notablemente el coste
de reversing, y sobre el componente kernel de NetEase Shield
(NEP.sys), de superficie más expuesta al no emplear virtualización.
Comparativa técnica de callbacks, mecanismos de protección y vectores de
análisis entre ambos stacks.
Proyecto integral para escritora independiente: registro y administración del dominio, configuración de DNS, provisión del hosting, diseño y maquetación del sitio, despliegue en producción y soporte continuo de incidencias.
¿Interesado en colaborar o saber más sobre mis investigaciones? Escríbeme directamente.
Enviar Email