Fibratus - это инструмент для исследования и отслеживания ядра Windows. Он позволяет перехватывать общесистемные события , такие как жизненный цикл процесса, ввод-вывод файловой системы, изменения реестра или сетевые запросы, а также многие другие сигналы наблюдения.
Короче говоря, Fibratus позволяет получить глубокую оперативную видимость ядра Windows, а также процессов, работающих поверх него. 🤔
▫️ Не требует драйверов и стороннего ПО.
События могут быть отправлены в широкий спектр выходных приемников или сохранены для захвата файлов для локальной проверки и криминалистического анализа.
Мощный механизм фильтрации позволяет проникать в внутренности потока событий, а механизм правил способен обнаруживать скрытые атаки противника и изощренные угрозы.