(FR) NTFS, forensics, malwares and vulnerabilities with Stéfan LE BERRE (HEURS)

Durant ce talk nous parlerons d'un système de fichier bien connu et utilisé par des millions de personnes, NTFS. Toute personne utilisant Windows aujourd'hui utilise NTFS. Mais dans les faits trop peu de personnes savent vraiment ce qu'il y a dans NTFS, nous verrons comment il fonctionne et comment on peut en abuser.

Le talk se déroulera en trois parties:

  • Présentation de ce qu'est NTFS (principalement la MFT), comment les fichiers y sont stockés et ce qu'il y a d'intéressant à voir d'un point de vu forensics (globalement nous verrons les structures internes de NTFS appliquées à un exemple concret).
  • Comment certains malwares tirent parti de fonctionnalités ou de bugs du format NTFS pour se cacher. Je présenterai deux APT qui jouent avec NTFS pour se cacher.
  • Enfin je présenterai deux vulnérabilités que j'ai découvert dans NTFS.SYS, le driver qui traite les données stockées sur disque. Ces vulnérabilités peuvent être déclenchées par le simple branchement d'une clé USB (sans interaction utilisateur).

    About Stéfan Le Berre (HEURS) @heurs

Heurs is a security researcher specialized in Windows kernel, bug hunting and exploitation.