Estudiando las capacidades de logging de Windows Telemetry usando Ingenieria Inversa

Artuso, Pablo Agustín

Navegar

Documento Últimos publicados Autor Año Título Obtenido - Año Departamento - Año Director y Director Asistente Jurado Consejero de Estudios Palabras Clave

Colección

Datos Estadísticas

Tesis de Grado

Artuso, Pablo Agustín. "Estudiando las capacidades de logging de Windows Telemetry usando Ingenieria Inversa" . (2022). Tesis de Grado, Universidad de Buenos Aires. Facultad de Ciencias Exactas y Naturales.

Registro Resumen Abstract Citación Estadísticas

Registro:

Documento:	Tesis de Grado
Título:	Estudiando las capacidades de logging de Windows Telemetry usando Ingenieria Inversa
Autor:	Artuso, Pablo Agustín
Editor:	Universidad de Buenos Aires. Facultad de Ciencias Exactas y Naturales
Publicación en la web:	2023-09-12
Fecha de defensa:	2022-06-09
Fecha en portada:	2022
Grado Obtenido:	Grado
Título Obtenido:	Licenciado en Ciencias de la Computación
Director:	Baader, Rodolfo
Director Asistente:	Milenkoski, Aleksandar
Idioma:	Español
Formato:	PDF
Handle:	http://hdl.handle.net/20.500.12110/seminario_nCOM000493_Artuso
PDF:	https://bibliotecadigital.exactas.uba.ar/download/seminario/seminario_nCOM000493_Artuso.pdf
Registro:	https://bibliotecadigital.exactas.uba.ar/collection/seminario/document/seminario_nCOM000493_Artuso
Ubicación:	Dep.COM 000493
Derechos de Acceso:	Esta obra puede ser leída, grabada y utilizada con fines de estudio, investigación y docencia. Es necesario el reconocimiento de autoría mediante la cita correspondiente. Artuso, Pablo Agustín. (2022). Estudiando las capacidades de logging de Windows Telemetry usando Ingenieria Inversa. (Tesis de Grado. Universidad de Buenos Aires. Facultad de Ciencias Exactas y Naturales.). Recuperado de http://hdl.handle.net/20.500.12110/seminario_nCOM000493_Artuso

Resumen:

Windows, uno de los sistemas operativos más populares, tiene un componente llamado Telemetra. Dicho componente recolecta información del sistema con el objetivo de analizarla para después poder diagnosticar y reparar problemas de software y hardware, mejorar la experiencia de usuario, entre otros. El tipo de información obtenida por este componente es parcialmente configurable a través de la especificación de uno de estos 4 niveles: Seguridad, Básico, Mejorado y Completo, siendo “Seguridad" el nivel que menos información recolecta y “Completo" el que más. ¿Cómo hace Telemetría para guardar/procesar/administrar la información extraída? Hace uso de un mecanismo interno de Windows llamado \\Seguimiento de Eventos para Windows" (ETW) [4]. Embebido tanto en aplicaciones de usuario como en módulos de Kernel, ETW tiene el objetivo de proveer una interfaz común de escritura de eventos y por lo tanto ayudar a depurar y dejar registro de operaciones del sistema. En este trabajo, analizaremos una parte del Kernel de Windows con el objetivo de entender cómo funciona el componente de Telemetría desde una perspectiva interna. Dado que el código fuente del Kernel de Windows no es de publico acceso, se aplicaran técnicas tales como ingeniería reversa [5], [6]; lo cual implica otros desafíos complejos tales como depuración de Kernel, lidiar con estructuras de Kernel no documentadas previamente, reverseo de mecanismos complejos (ETW), librerías sin símbolos, etc. Este trabajo hará que tanto analistas de Windows, administradores IT o incluso usuarios de Windows estén más conscientes sobre el comportamiento del componente. Como consecuencia, se proveerá de recursos necesarios para entender y ayudar a lidiar con temas de privacidad, corrección de errores, conocimiento de información recolectada, etc.

Abstract:

Windows, one of the most popular OS, has a component called Telemetry. It collects information from the system with the goal of analyzing and later diagnosing and xing software and hardware problems and improving the user experience, among others. The kind of information that can be obtained by this component is partially congurable by specifying one of four different levels: security, basic, enhanced and full, being \\security" the level where less information is gathered and \\full" the opposite case. How Telemetry stores/process/administrates the information extracted? It employs a widely used framework called Event Tracing for Windows (ETW) [4]. Embedded not only in userland applications but also in the kernel modules, the ETW framework has the goal of providing a common interface to log events and therefore help to debug and log system operations. In this work, we are going to analyze a part of the Windows kernel to better understand how Telemetry works from an internal perspective. Due to Kernel source code not being open, techniques like reverse engineering [5][6] will be used. As a consequence, other complex challenges will be involved such as kernel debugging, dealing with undocumented kernel internal structures, reversing of big frameworks (i.e: ETW), binary libraries which lack symbols, etc. This work will make Windows analysts, IT admins or even Windows users, more aware about the functionality of the Telemetry component. As a consequence, it will provide necessary resources to deeply understand and help deal with privacy issues, bug xing, knowledge of collected data, etc.

Citación:

---------- APA ----------

Artuso, Pablo Agustín. (2022). Estudiando las capacidades de logging de Windows Telemetry usando Ingenieria Inversa. (Tesis de Grado. Universidad de Buenos Aires. Facultad de Ciencias Exactas y Naturales.). Recuperado de https://hdl.handle.net/20.500.12110/seminario_nCOM000493_Artuso

---------- CHICAGO ----------

Artuso, Pablo Agustín. "Estudiando las capacidades de logging de Windows Telemetry usando Ingenieria Inversa". Tesis de Grado, Universidad de Buenos Aires. Facultad de Ciencias Exactas y Naturales, 2022.https://hdl.handle.net/20.500.12110/seminario_nCOM000493_Artuso

Estadísticas:

Descargas mensuales

Total de descargas desde :

https://bibliotecadigital.exactas.uba.ar/download/seminario/seminario_nCOM000493_Artuso.pdf