Furious Beaver
Furious Beaver — это распределенный инструмент для захвата IRP, отправляемых любому драйверу Windows. Работает в 2-х частях:
- «Брокер» сочетает в себе как агента пользователя, так и самораспаковывающийся драйвер ( IrpDumper.sys), который будет устанавливаться в целевой системе. После запуска он предоставит (в зависимости от параметров компиляции) удаленный именованный канал (доступный из \target.ip.address\pipe\cfb) или TCP-порт, прослушивающий TCP/1337. Протокол связи был сделан простым по своей конструкции (т. е. небезопасным), позволяя любому стороннему инструменту легко сбрасывать IRP драйвера от того же брокера (через простые сообщения JSON).
- GUI — это приложение UWP для Windows 10, выполненное в ProcMonстиле : оно будет подключаться к любому месту, где находится брокер, и предоставляет удобный графический интерфейс для управления брокером (перечисление драйверов, перехват и захват IRP). Он также предлагает средства для подделки/воспроизведения IRP, автоматического фаззинга (т. е. применения определенных политик фаззинга к каждому захваченному IRP) или извлечения IRP в различных форматах (необработанных, как скрипт Python, как скрипт PowerShell) для дальнейшего анализа. Захваченные данные могут быть сохранены на диске в легко анализируемом формате ( *.cfb= SQLite) для дальнейшего анализа и/или перезагрузки впоследствии в графическом интерфейсе.
Хотя для графического интерфейса, очевидно, требуется среда Windows 10 (приложение UWP), сам брокер можно развернуть на любом хосте Windows 7+ (x86 или x64). На целевом хосте должна быть testsigningвключена политика BCD, так как самораспаковывающийся драйвер не поддерживает WHQL.