Cargando Eventos

Título: Studying the logging capability of Windows Telemetry component using Reverse Engineering
Director: Rodolfo Baader
Jurados: Esteban Mocskos y Leandro Meiners

Resumen:
=======
Windows, uno de los sistemas operativos más populares, tiene un componente llamado Telemetría.
Dicho componente recolecta información del sistema con el objetivo de analizarla para después poder diagnosticar y reparar problemas de software y hardware, mejorar la experiencia de usuario, entre otros.
El tipo de información obtenida por este componente es parcialmente configurable a través de la especificación de uno de estos 4 niveles: Seguridad, Básico, Mejorado y Completo, siendo «Seguridad» el nivel que menos información recolecta y «Completo» el que más.
¿Cómo hace Telemetría para guardar/procesar/administrar la información extraída?
Hace uso de un mecanismo interno de Windows llamado «Seguimiento de Eventos para Windows» (ETW). Embebido tanto en aplicaciones de usuario como en módulos de Kernel, ETW tiene el objetivo de proveer una interfaz común de escritura de eventos y por lo tanto ayudar a depurar y dejar registro de operaciones del sistema.
En este trabajo, analizaremos una parte del Kernel de Windows con el objetivo de entender cómo funciona el componente de Telemetría desde una perspectiva interna. Dado que el código fuente del Kernel de Windows no es de público acceso, se aplicarán técnicas tales como ingeniería reversa; lo cual implica otros desafíos complejos tales como depuración de Kernel, lidiar con estructuras de Kernel no documentadas previamente, reverseo de mecanismos complejos (ETW), librerías sin símbolos, etc. Este trabajo hará que tanto analistas de Windows, administradores IT o incluso usuarios de Windows estén más conscientes sobre el comportamiento del componente. Como consecuencia, se proveerá de recursos necesarios para entender y ayudar a lidiar con temas de privacidad, corrección de errores, conocimiento de información recolectada, etc.