Igor Korkin - Achievements

Home / Monograph / CV / Research repository

Summary

I have been in OS security research for more than 15 years, working on Windows and Linux user-level, kernel-level, and hypervisor-level security, rootkit detection, memory forensics, EDR/AV attacks, sandboxing, and bare-metal hypervisors. My research results have been presented at HITB, Black Hat, LABScon, Ekoparty, ROOTCON, Texas Cyber Summit, IEEE S&P Workshops / SADFE, REcon, ADFSL, and RusCrypto.

Find me on: ORCID / IEEE Xplore

I have published more than 40 research papers and one patent. Conference appearances include HITB 2023, EKOPARTY 2022, ROOTCON 2022, LABScon 2022, Black Hat USA 2022, Black Hat Europe 2021, Texas Cyber Summit 2021, IEEE SP SADFE 2021, HITB 2020, Black Hat Europe 2018, REcon 2016, seven ADFSL conferences in 2014-2022, and RusCrypto 2011.

My blog is here: igorkorkin.blogspot.com

Education

Recent Research Projects

  1. Blasting Event-Driven Cornucopia: WMI-based User-Space Attacks Blind SIEMs and EDRs, Black Hat USA, Las Vegas, 2022.
  2. Veni, No Vidi, No Vici: Attacks on ETW Blind EDR Sensors, Black Hat Europe, London, 2021.
  3. Protected Process Light will be Protected - MemoryRanger Fills The Gap Again, IEEE S&P Workshops / SADFE and Texas Cyber Summit, 2021.
  4. Windows Kernel Hijacking is Not an Option: MemoryRanger Comes to the Rescue Again, HITB Lockdown 002, 2020.
  5. MemoryRanger Prevents Hijacking FILE_OBJECT Structures in Windows Kernel, ADFSL, 2019.
  6. Divide et Impera: MemoryRanger Runs Drivers in Isolated Kernel Spaces, Black Hat Europe, 2018.
  7. Hypervisor-Based Active Data Protection for Integrity and Confidentiality of Dynamically Allocated Memory in Windows Kernel, ADFSL, 2018.
  8. Detect Kernel-Mode Rootkits via Real-Time Logging & Controlling Memory Access, ADFSL, 2017.
  9. Monitoring & Controlling Kernel-Mode Events by HyperPlatform, REcon, 2016.
  10. Acceleration of Statistical Detection of Zero-day Malware in the Memory Dump Using CUDA-enabled GPU Hardware, ADFSL, 2016.
  11. Two Challenges of Stealthy Hypervisors Detection: Time Cheating and Data Fluctuations, ADFSL, 2015.
  12. Applying Memory Forensics to Rootkit Detection, ADFSL, 2014.

Recorded Talks

Work History

Lead Security Researcher, Expert B

LLC Ventra / Huawei Technologies, November 2019 - August 2023

Lead Security Research Engineer

Special System Engineering Centre, March 2019 - October 2019

Senior Researcher

FGUP CNIIHM, February 2009 - March 2019

Visiting Professor (volunteering)

NRNU MEPhI, September 2012 - present

Awards

Patents

International Collaboration

Research Activity Links

Publishing Profiles

Academic Advising and Service

Training and Courses

Ph.D. Thesis

Igor Korkin. Statistical Detection of Hardware Virtualization Based Rootkits / «Методика обнаружения нелегитимного программного обеспечения, использующего технологию аппаратной виртуализации». Defended February 9, 2012; approved August 30, 2012.

IAEA Ref #45100139: inis.iaea.org/search/45100139

RSL records: record 1 / record 2

English version presented at ADFSL 2015: blog note

Publications

  1. Коркин И.Ю. Технологии сокрытия вредоносных программ и новые способы противодействия им / И.Ю. Коркин // Безопасность информационных технологий. — 2009. — Т. 16, № 4. — С. 43–46.
  2. Коркин И.Ю. Способ обнаружения скрытых процессов в операционной системе Windows / И.Ю. Коркин // Проблемы информационной безопасности в системе высшей школы // Сб. науч. тр. 16-ой Всерос. конф. — М., 2009. — С. 111–112.
  3. Коркин И.Ю. Метод обнаружения аппаратной виртуализации в компьютерных системах / И.Ю. Коркин, Т.В. Петрова, А.Ю. Тихонов // Проблемы информационной безопасности в системе высшей школы: сб. науч. тр. 17-ой Всерос. конф. — М., 2010. — С. 114–115.
  4. Коркин И.Ю. Метод обнаружения аппаратной виртуализации в компьютерных системах / И.Ю. Коркин, Т.В. Петрова, А.Ю. Тихонов // Безопасность информационных технологий. — 2010. — Т. 17, № 1. — С. 80–81.
  5. Коркин И.Ю. Критерий обнаружения монитора виртуальных машин в компьютерных системах / И.Ю. Коркин // Методы и технические средства обеспечения безопасности информации: сб. мат. 19-ой Общерос. науч.-техн. конф. — СПб., 2010. — С. 113–114.
  6. Коркин И.Ю. Новый подход к выявлению аппаратной виртуализации в компьютерных системах / И.Ю. Коркин, Т.В. Петрова, А.Ю. Тихонов // Молодежь и наука: тез. докл. 14-ой Междунар. телекоммуник. конф. студентов и молодых ученых. — Ч. 3. — М.: Национальный исследовательский ядерный университет «МИФИ», 2010. — С. 241–242.
  7. Коркин И.Ю. Метод выявления аппаратной виртуализации в компьютерных системах на основе механизма кэширования / И.Ю. Коркин // Безопасность информационных технологий. — 2011. — Т. 18, № 1. — С. 101–103.
  8. Коркин И.Ю. Статистическая идентификация режимов работы компьютерных систем / И.Ю. Коркин // Телекоммуникации и новые информационные технологии в образовании: сб. науч. тр. 15-ой конф. — М.: Национальный исследовательский ядерный университет «МИФИ», 2011. — С. 163–165.
  9. Коркин И.Ю. Выявление вложенных мониторов виртуальных машин / И.Ю. Коркин // Системы высокой доступности. — 2011. — Т. 7, № 2. — С. 76–77.
  10. Коркин И.Ю. Выявление вложенных мониторов виртуальных машин: доклад на конференции «РусКрипто» / И.Ю. Коркин. — 2011. — URL: https://ruscrypto.ru/accociation/news/2011-03-21.html.
  11. Коркин И.Ю. Обнаружение вложенных мониторов виртуальных машин методами математической статистики / И.Ю. Коркин // Методы и технические средства обеспечения безопасности информации: сб. мат. 20-ой Общерос. науч.-техн. конф. — СПб., 2011. — С. 146–147.
  12. Коркин И.Ю. Новые статистические показатели и методы для обнаружения мониторов виртуальных машин в компьютерных системах / И.Ю. Коркин // Естественные и технические науки. — 2011. — № 4 (54). — С. 498–502.
  13. Коркин И.Ю. Обоснование критериев присутствия программного обеспечения, использующего технологию аппаратной виртуализации, в компьютерных системах / И.Ю. Коркин // Безопасность информационных технологий. — 2012. — Т. 19, № 2. — С. 90–92.
  14. Жуков А.Е. Модели выполнения процессорных инструкций в условиях противодействия со стороны нарушителя для компьютерных систем с поддержкой технологии аппаратной виртуализации / А.Е. Жуков, И.Ю. Коркин, Б.М. Сухинин // Безопасность информационных технологий. — 2012. — Т. 19, № 2. — С. 85–89.
  15. Коркин И.Ю. Уровневый метод обнаружения гипервизоров в компьютерных системах / И.Ю. Коркин // Методы и технические средства обеспечения безопасности информации: сб. мат. 21-ой Общерос. науч.-техн. конф. — СПб., 2012. — С. 110–113.
  16. Коркин И. Руткиты: проблемы безопасности и тенденции развития / И. Коркин // Хакер. — 2013. — Вып. 5 (172). — С. 74–79.
  17. Korkin I. Anti-Rootkits in the Era of Cyber Wars / I. Korkin // Exploiting Software: SamuraiWTF Toolkit. — 2012. — Is. 7. — P. 26–29.
  18. Korkin I. Applying Memory Forensics to Rootkit Detection / I. Korkin, I. Nesterov // Proceedings of the 9th Annual ADFSL Conference on Digital Forensics, Security and Law. — Richmond, Virginia, USA, 2014. — P. 115–141.
  19. Korkin I. Strong Approach to Hardware-VM Rootkits Detection / I. Korkin // Hakin9 Extra — Rootkit. — 2011. — Is. 6. — P. 30–35.
  20. Korkin I. Two Challenges of Stealthy Hypervisors Detection: Time Cheating and Data Fluctuations / I. Korkin // Proceedings of the 10th Annual ADFSL Conference on Digital Forensics, Security and Law. — Daytona Beach, Florida, USA, 2015. — P. 33–57.
  21. Korkin I. Two Challenges of Stealthy Hypervisors Detection: Time Cheating and Data Fluctuations / I. Korkin // Journal of Digital Forensics, Security and Law. — 2015. — Vol. 10, № 2. — P. 7–38.
  22. Korkin I. Acceleration of Statistical Detection of Zero-day Malware in the Memory Dump Using CUDA-enabled GPU Hardware / I. Korkin, I. Nesterov // Proceedings of the 11th Annual ADFSL Conference on Digital Forensics, Security and Law. — Daytona Beach, Florida, USA, 2016. — P. 47–82.
  23. Tanda S. Monitoring & controlling kernel-mode events by HyperPlatform / S. Tanda, I. Korkin // REcon Conference. — Montreal, Canada, 2016. — URL: https://recon.cx/2016/talks/Monitoring-and-controlling-kernel-mode-events-by-HyperPlatform.html.
  24. Korkin I. Detect Kernel-Mode Rootkits via Real-Time Logging & Controlling Memory Access / I. Korkin, S. Tanda // Proceedings of the 12th Annual ADFSL Conference on Digital Forensics, Security and Law. — Daytona Beach, Florida, USA, 2017. — URL: https://commons.erau.edu/adfsl/2017/papers/5/.
  25. Korkin I. Hypervisor-Based Active Data Protection for Integrity and Confidentiality of Dynamically Allocated Memory in Windows Kernel / I. Korkin // Proceedings of the 13th Annual ADFSL Conference on Digital Forensics, Security and Law. — San Antonio, Texas, USA, 2018. — URL: https://commons.erau.edu/adfsl/2018/presentations/13/.
  26. Korkin I. Divide et Impera: MemoryRanger Runs Drivers in Isolated Kernel Spaces / I. Korkin // Black Hat Europe Conference. — London, UK, 2018. — URL: https://www.blackhat.com/eu-18/briefings/schedule/index.html#divide-et-impera-memoryranger-runs-drivers-in-isolated-kernel-spaces-12668.
  27. Korkin I. MemoryRanger Prevents Hijacking FILE_OBJECT Structures in Windows Kernel / I. Korkin // Proceedings of the 14th Annual ADFSL Conference on Digital Forensics, Security and Law. — Daytona Beach, Florida, USA, 2019. — URL: https://commons.erau.edu/adfsl/2019/paper-presentation/7/.
  28. Korkin I. MemoryRanger Prevents Hijacking FILE_OBJECT Structures in Windows Kernel / I. Korkin // Journal of Digital Forensics, Security and Law. — 2019. — URL: https://commons.erau.edu/jdfsl/vol14/iss3/1/.
  29. Korkin I. Windows Kernel Hijacking is Not an Option: MemoryRanger Comes to the Rescue Again / I. Korkin // Hack In The Box Security Conference (HITB Lockdown 002). — Singapore, 2020. — URL: https://conference.hitb.org/hitb-lockdown002/sessions/kernel-hijacking-is-not-an-option-memoryranger-comes-to-rescue-again/.
  30. Korkin I. Windows Kernel Hijacking is Not an Option: MemoryRanger Comes to the Rescue Again / I. Korkin // Journal of Digital Forensics, Security and Law. — 2021. — URL: https://commons.erau.edu/jdfsl/vol16/iss1/4/.
  31. Korkin I. Protected Process Light is not Protected: MemoryRanger Fills The Gap Again / I. Korkin // Systematic Approaches to Digital Forensic Engineering (SADFE) International Workshop in conjunction with the 42nd IEEE Symposium on Security and Privacy: Proceedings of 2021 IEEE Symposium on Security and Privacy Workshops. — San Francisco, CA, USA, 2021. — URL: https://ieeexplore.ieee.org/document/9474278.
  32. Korkin I. Protected Process Light will be Protected — MemoryRanger Fills the Gap Again / I. Korkin // Texas Cyber Summit IV. — San Antonio, Texas, USA, 2021. — URL: https://www.youtube.com/watch?v=oY28U6U2moo.
  33. Korkin I. Your Linux Passwords Are in Danger: MimiDove Meets the Challenge / I. Korkin, S. Golub // Texas Cyber Summit IV. — San Antonio, Texas, USA, 2021. — URL: https://www.youtube.com/watch?v=R4yWYtTqH4I.
  34. Korkin I. Your Linux Passwords Are in Danger: MimiDove Meets the Challenge / I. Korkin, S. Golub // IOSR Journal of Computer Engineering. — 2021. — URL: https://www.iosrjournals.org/iosr-jce/papers/Vol23-issue6/Ser-1/C2306012728.pdf.
  35. Голуб С.А. Анализ безопасности подсистем локальной аутентификации ОС семейств Windows и Linux / С.А. Голуб, И.Ю. Коркин // Безопасность информационных технологий. — 2022. — Т. 29, № 1. — С. 57–69.
  36. Korkin I. Veni, No Vidi, No Vici: Attacks on ETW Blind EDR Sensors / I. Korkin, C. Teodorescu, A. Golchikov // Black Hat Europe Conference. — London, UK, 2021. — URL: https://www.blackhat.com/eu-21/briefings/schedule/#veni-no-vidi-no-vici-attacks-on-etw-blind-edr-sensors-24842.
  37. Grishin M. Human-Controlled Fuzzing With AFL / M. Grishin, I. Korkin // Proceedings of the 15th Annual ADFSL Conference on Digital Forensics, Security and Law. — Florida, USA, 2022. — URL: https://commons.erau.edu/adfsl/2022/presentations/3/.
  38. Grishin M. Human-Controlled Fuzzing with AFL / M. Grishin, I. Korkin // ROOTCON 16. — Philippines, 2022. — URL: https://www.youtube.com/watch?v=__5KbGy2cHk.
  39. Pogonin D. Microsoft Defender Will Be Defended: MemoryRanger Prevents Blinding Windows AV / D. Pogonin, I. Korkin // Proceedings of the 15th Annual ADFSL Conference on Digital Forensics, Security and Law. — Florida, USA, 2022. — URL: https://commons.erau.edu/adfsl/2022/presentations/7/.
  40. Pogonin D. Microsoft Defender Will Be Defended: MemoryRanger Prevents Blinding Windows AV / D. Pogonin, I. Korkin // ROOTCON 16. — Philippines, 2022. — URL: https://www.youtube.com/watch?v=dF7TP1V6wTM.
  41. Korkin I. Blasting Event-Driven Cornucopia: WMI-based User-Space Attacks Blind SIEMs and EDRs / I. Korkin, C. Teodorescu, A. Golchikov // Black Hat USA Conference. — Las Vegas, USA, 2022. — URL: https://www.blackhat.com/us-22/briefings/schedule/#blasting-event-driven-cornucopia-wmi-based-user-space-attacks-blind-siems-and-edrs-27211.
  42. Korkin I. Blasting Event Driven Cornucopia: WMI Edition / I. Korkin, C. Teodorescu, A. Golchikov // LABScon. — Scottsdale, Arizona, USA, 2022. — URL: https://www.sentinelone.com/labs/labscon-replay-blasting-event-driven-cornucopia-wmi-based-user-space-attacks-blind-siems-and-edrs/.
  43. Korkin I. Blinding Endpoint Security Solutions: WMI attack vectors / I. Korkin, C. Teodorescu, A. Golchikov // EKOPARTY. — Buenos Aires, Argentina, 2022. — URL: https://www.youtube.com/watch?v=Q35snDTxb6w.
  44. Калинкин А.О. Обнаружение программ-шифровальщиков на основе данных механизма трассировки событий и применения метода машинного обучения / А.О. Калинкин, С.А. Голуб, И.Ю. Коркин, Д.Н. Пятовский // Безопасность информационных технологий. — 2022. — Т. 29, № 3. — С. 82–93.
  45. Kropova A. ALPChecker — Detecting Spoofing and Blinding Attacks / A. Kropova, I. Korkin // Hack In The Box Security Conference (HITBSecConf2023), CommSec Track. — Phuket, Thailand, 2023. — URL: https://www.youtube.com/watch?v=DV0dls206zc.
  46. Korkin I. Y., Lyashenko V. A., Lipnitsky A. A., Pak M. A., Bykovsky P. S. Analysis of Memory Dump Approaches for the MAC OS // Actual Scientific Research in the Modern World. — 2020. — URL: https://elibrary.ru/item.asp?id=43092509.
  47. Поддубный В.А. Средство обнаружения скрытого исполнимого кода в памяти ОС Windows / В.А. Поддубный, И.Ю. Коркин // Вопросы кибербезопасности. — 2019. — № 5 (33). — С. 75–82.
  48. Поддубный В.А. Средство обнаружения скрытого исполнимого кода в памяти ОС Windows / В.А. Поддубный, И.Ю. Коркин // Управление информационной безопасностью в современном обществе: VII Междунар. науч.-практ. конф. — М., 2019. — URL: https://www.elibrary.ru/item.asp?id=41517996.
  49. Казаков О.А. Обнаружение криптомайнеров в ОС Windows инструментами технологии ETW / О.А. Казаков, И.Ю. Коркин // Вопросы кибербезопасности. — 2019. — № 5 (33). — С. 83–88.
  50. Казаков О.А. Обнаружение криптомайнеров в ОС Windows инструментами технологии ETW / О.А. Казаков, И.Ю. Коркин // Управление информационной безопасностью в современном обществе: VII Междунар. науч.-практ. конф. — М., 2019. — URL: https://www.elibrary.ru/item.asp?id=41517997.
  51. I. Y. Korkin, O. A. Kazakov. Detection of Hidden Cryptocurrency Mining Malware in Windows OS // Information Security Management in Modern Society conference, 2019. — URL: https://vipforum.ru/upload/events/vshe/%D0%9F%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B0%20%D0%A3%D0%98%D0%912019_%D0%A4.pdf.
  52. I. Y. Korkin, V. A. Poddubnyy. Detection of Hidden Executable Code in Windows Memory // Information Security Management in Modern Society conference, 2019. — URL: https://vipforum.ru/upload/events/vshe/%D0%9F%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B0%20%D0%A3%D0%98%D0%912019_%D0%A4.pdf.
  53. Рудик М.В. Расширение возможностей Clang Static Analyzer для обнаружения новых уязвимостей / М.В. Рудик, И.Ю. Коркин // Естественные и технические науки. — 2021. — № 7 (158). — С. 225–230.
  54. Кропова А.В. Исследование вопросов безопасности технологии ALPC в условиях атак с использованием драйверов Windows / А.В. Кропова, И.Ю. Коркин // ИНТЕРЭКСПО ГЕО-СИБИРЬ. — 2023. — Т. 7, № 2. — С. 43–50.
  55. Счастливцев К.Д. Анализ защиты операционной системы Windows 11 от внедрения кода в процессы / К.Д. Счастливцев, И.Ю. Коркин // Кибернетика и информационная безопасность: сб. науч. тр. Всерос. науч.-техн. конф. «КИБ-2023». — М., 2023. — С. 30–31.
  56. Гришин М.А. Гибридная схема направленного фаззинг тестирования ядра Linux с использованием инструмента Syzkaller / М.А. Гришин, И.Ю. Коркин // Кибернетика и информационная безопасность: сб. науч. тр. 2-ой Всерос. науч.-техн. конф. «КИБ-2024». — М., 2024. — С. 238–239.
  57. Коркин И.Ю. О подходе к защите приложений класса «менеджер паролей» от перехвата клавиатурного ввода / И.Ю. Коркин // Кибернетика и информационная безопасность: сб. науч. тр. 3-ой Всерос. науч.-техн. конф. «КИБ-2025». — М., 2025. — С. 70-71.
  58. Igor Korkin. Cyber-Security of Autonomous Wireless Medical Devices For Supporting Life // Skolkovo Cybersecurity Challenge 2016. — URL: http://sk.ru/news/b/pressreleases/archive/2016/12/02/skolkovo-cybersecurity-challenge-2016-otobrano-15-proektovfinalistov.aspx.
  59. Igor Korkin. Rootkits: Security Issues and Trends // Hacker Magazine. — 2013. — URL: https://xakep.ru/2013/05/01/60595/.

Patent Record

Hu K. Data Protection Method, Apparatus, Storage Medium, and Computer Device / K. Hu, I.Y. Korkin; Assignee: Huawei Technologies Co. Ltd. // European Patent Office. — 2022. — Patent EP4231181B1. URL: https://patents.google.com/patent/EP4231181B1/en.

Legacy Resources