Source: fluxsec.red — Publication décrivant le plan du projet « Sanctum », un EDR open source en Rust, avec contexte, objectifs et choix techniques autour d’un driver Windows.
🛡️ Sanctum est un EDR expérimental open source visant à détecter des techniques de malware modernes, au‑delà des capacités d’un antivirus (AV). Le projet ambitionne de couvrir à la fois les rôles d’AV et d’EDR, et se présente comme une preuve de concept destinée à documenter l’apprentissage et la progression de l’auteur.
🧪 L’approche consiste à construire l’EDR autour de techniques offensives présentées sur le blog, pour démontrer comment certaines attaques pourraient être détectées ou stoppées — ou constater quand ce n’est pas possible. L’objectif est autant pédagogique que technique.
🔁 Rework du projet : initialement, l’auteur voulait écrire le driver Windows en Rust, a basculé vers C, puis est revenu à Rust. La pile visée comprend un driver et un module usermode, tous deux en Rust.
🔒 Pourquoi Rust : grâce à no_std/libcore et au soutien de Microsoft pour le développement de drivers en Rust, le langage est jugé « plus sûr ». Les vérifications à la compilation et le modèle de possession réduisent les erreurs et vulnérabilités courantes. L’auteur évoque une statistique selon laquelle certains kernels/modules Rust ne contiendraient qu’environ 5% de code unsafe, préférant cette surface réduite de risques aux 100% de code potentiellement unsafe en C/C++. Sont mis en avant les garanties d’exécution (pas de violations d’accès, pointeurs pendants, use-after-free hors zones unsafe limitées).
🧰 L’écosystème WDK (Windows Driver Kit) en Rust est salué pour faciliter le développement : gestion du tas, idiomes familiers comme println!(), et un pont efficace vers le développement noyau Windows. Dépôt GitHub : https://github.com/0xflux/Sanctum
🔗 Source originale : https://fluxsec.red/sanctum-edr-intro
🖴 Archive : https://web.archive.org/web/20250817161158/https://fluxsec.red/sanctum-edr-intro