Pillole di MalwareAnalysis: Kernel Space e Kernel Mode

Facendo seguito alla pillola della settimana scorso oggi vi continua a parlare di memoria.

La memoria si divide in due aree distinte:

Lo User Space, che è un insieme di posizioni in cui vengono eseguiti i normali processi utente ed è dove viene mappato il VAS (Virtual Address Space) che vi ho descritto nella pillola precedente.
Il Kernel Space, che è la posizione in cui è eseguito il kernel e tutti quei processi che necessitano di essere eseguiti in Kernel mode.
Attenzione, quando parliamo di space ci riferiamo alla memoria, quando parliamo di mode ci riferiamo alla modalità di lavoro della CPU.
Quando la CPU lavora in Kernel Mode (Ring0) è in grado di accedere al Kernel Space (andatevi a rivedere la mia pillola sui Ring di protezione)
I processi in esecuzione nello spazio utente hanno accesso solo al loro Virtual Address Space, mentre i processi kernel vedono a tutta la memoria.

I processi in esecuzione nello user space non hanno accesso diretto allo spazio del kernel ma possono utilizzre API che consentono di passare al Kernel Mode.

Tipicamente sui sistemi Windows questo viene effettuato chiamado API che si trovano in Kernel32.dll e che, passando tramite altre API in Ntdll.dll passano l'esecuzione da User Mode a Kernel mode.
E' importante però sottolineare che i processi che lavorano in Kernel Space utilizzano tutti lo stesso spazio di indirizzamento e non sono protetti, come in user space, dalla VAS.
Cosa significa? Che quando un processo in user space si "pianta" non succede nulla, il SO continua a funzionare. Quando si "pianta" un processo in Kernel Space, vengono coinvolti potenzialmente tutti i processi che girano in quell'area.
Il risultato?
Schermata blu!

#Windows #Kernel #VAS #MalwareAnalysis #Cybersecurity #Malware #Hacker #EthicalHacker

Pin It

A cura di...

Antonio Capobianco
Antonio Capobianco
Malware Analyst
Image
Vincenzo Alonge
Ethical Hacker e Forensic Analyst
Image
Andrea Tassotti
Ethical Hacker e Pentester
Image
Andrea Covino
Ethical Hacker e Forensic Analyst

Per rimanere aggiornato iscriviti alla nostra newsletter

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2024 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.