https://cyberveille.ch/tags/gdrv3.sys/ Recent content in Gdrv3.sys on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Sun, 05 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-05-retro-ingenierie-de-gdrv3-sys-gigabyte-13-primitives-d-acces-materiel-exploitables-en-byovd/ Sun, 05 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-05-retro-ingenierie-de-gdrv3-sys-gigabyte-13-primitives-d-acces-materiel-exploitables-en-byovd/ <h2 id="-contexte">🔍 Contexte</h2> <p>Article de recherche publié le 02 mai 2026 sur le blog personnel d&rsquo;Aaron Haymore (zonifer.dev). L&rsquo;auteur présente une analyse technique complète du pilote noyau <strong>gdrv3.sys</strong> livré avec <strong>Gigabyte APP Center</strong>, dans le cadre d&rsquo;une étude sur les attaques <strong>BYOVD (Bring Your Own Vulnerable Driver)</strong>.</p> <h2 id="-objet-de-lanalyse">🎯 Objet de l&rsquo;analyse</h2> <p>Le pilote <strong>gdrv3.sys</strong> (MD5 : <code>2791bbd810b9bc086bb1631e0f16c821</code>) est un pilote WDF signé par Microsoft, déposé dans <code>C:\Windows\System32\drivers</code> lors de l&rsquo;installation de Gigabyte APP Center. L&rsquo;analyse de sa table d&rsquo;imports dans Ghidra révèle des fonctions dangereuses : <code>MmMapIoSpace</code>, <code>MmGetPhysicalAddress</code>, <code>MmAllocateContiguousMemory</code>, <code>MmMapLockedPagesSpecifyCache</code>, <code>RDMSR</code>/<code>WRMSR</code>.</p>