10、突破用户模式下的Windows内核通知例程

于 2025-06-23 16:16:23 发布
阅读量5 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 探索入侵检测与恶意软件防御的新前沿 文章标签: Windows内核漏洞 进程通知例程 漏洞利用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/css33/article/details/149356896

突破用户模式下的Windows内核通知例程

1. 漏洞验证与利用程序开发

为了验证相关假设,开发了概念验证的利用程序。通过在PcaSvc进程中挂钩OpenProcess函数,将新进程的PID通过共享内存传递给另一个进程,并使用信号量恢复其执行,使其能够调用OpenProcess并获得完全特权的句柄。这一利用程序证实了PcaSvc能够超越反作弊驱动程序使用的内核进程通知例程。

分析PcaSvc的内部机制后发现,它使用作业对象来接收通知。基于此,创建了独立的利用程序hFromJob来复制PcaSvc的行为。此外,还开发了第二个利用程序hThemAll,它限制更少,进一步证实了该漏洞源于进程初始化期间的不安全时间段。

2. 漏洞时间周期测量

测量漏洞时间周期并非易事,因为它取决于硬件特性(如CPU频率、核心数、线程数)以及当前系统状态等难以完全控制的参数。所有实验都在空闲系统的2.40 GHz单核虚拟机中进行。

测量漏洞时间周期的方法是统计在保护机制建立之前能够获取的完全特权句柄数量,并将获得的第一个非完全特权句柄作为利用时间窗口结束的标志。具体使用了以下三种测量方法:
- RDTSC(读取时间戳计数器)CPU指令 :获取CPU周期数。
- QueryPerformanceCounter :微软提供的高分辨率时间戳,可用于时间间隔测量。
- GetTickCount64 :使用CPU时钟给出以毫秒为单位的时间间隔。

2.1 hFromJob测量结果

修改hF

了解本专栏 订阅专栏 解锁全文 超级会员免费看
8、快速突破用户模式下超越 Windows 内核通知例程
css33的专栏
06-21 6
本文揭示了从 Windows 7 到最新 Windows 10 版本中存在的一个核心安全设计漏洞。通过此漏洞用户模式进程可以在保护机制启动之前获得具有完全特权的进程句柄,从而绕过反病毒软件、游戏反作弊系统以及其他安全机制的保护。文中详细分析了该漏洞的技术背景、利用方法以及可能的修复方案,并通过多个案例研究验证了其实际影响。
AUTOSAR从入门到精通-【应用篇】基于 AUTOSAR 规范的 E2E 通信安全研究
getusushu的博客
07-03 1070
视,随着 AUTOSAR 组织的 E2E 通信规范的出台,联盟成员对 ECU 的研究也越来。尤其是在现在多元化时代,随着车联网的开始 AUTOSAR 相应的推出 E2E 通信机制。的 CRC 对报文的 MAC 进行解密,但 32 位的 MAC 的安全性无法得到保证。挑战,除了用于管理所有 ECU 的网关和 T-BOX,其余的 ECU 都可能难以胜任。行业内加入到 AUTOSAR 联盟的公司越来越多,其中包括了 OEM,Tier1(汽车。过接收的私钥 K 对报文中的 MAC 进行解密读取报文信息。
Windows内核研究总结
bcbobo21cn的专栏
02-05 1万+
Windows 的体系结构 分析环境reactos0.3.1 ,i386体系] 了解了windows的体系结构才知道reactos到底要干什么,以及如何干,因为reactos的目标是兼容windows。 下面是windows的体系结构: 这是整个windows的体系结构的总览。从图上可以看出系统被分成内核模式用户模式内核模式的构成文件是系
windows IO模型分析
li6322511的专栏
02-25 218
重叠I/O模型的另外几个优点在于,微软针对重叠I/O模型提供了一些特有的扩展函数。当使用重叠I/O模型时,可以选择使用不同的完成通知方式。 采用事件对象通知的重叠I/O模型是不可伸缩的,因为针对发出WSAWaitForMultipleEvents调用的每个线程,该I/O模型一次最多都只能支持6 4个套接字。假如想让这个模型同时管理不止64个套接字,必须创建额外的工作者线程,以便等待更多的事件对象。因为操作系统同时能够处理的事件对象是有限的,所以基于事件对象的I/O模型不具备伸缩性。 使用完成例程通知的..
服务器并发量之突破C10K的问题
longhumen1214的专栏
06-03 1957
原文地址:http://www.cnblogs.com/fll/archive/2008/05/17/1201540.html 如今的web服务器需要同时处理一万个以上的客户端了,难道不是吗?毕竟如今的网络是个big place了。 现在的计算机也很强大了,你只需要花大概$1200就可以买一个1000MHz的处理器,2G的内存, 1000Mbit/sec的网卡的机器。让
fontdrvhost占用高_迄今为止有关Windows 10安全机制最深入的分析
weixin_39837352的博客
12-21 3819
概要微软在北京时间2015年1月22日,公布了其新一代操作系统Windows 10的新技术预览版,并在随后的北京时间1月24日向公众开放了该预览版本的下载(Build:9926)。在这个新的Windows10预览版中,内核版本直接从6.4提升到了10.0,同时也带来了一些新的产品形态和用户体验上的诸多改进。作为国际顶尖的安全厂商,360除了在第一时间为使用Windows 10新预览版的用户提供安全...
Windows NTSTATUS Values 进程终止消息标识符
热门推荐
tz_zs的博客
08-20 1万+
____tz_zs 常见的进程终止值: 0x00000003 CRT的 abort() 或者 assert() 方法被调用了 0x80000003 在 RTC 运行时检查 发现一个未处理的断点(比如__debugbreak())  0xC0000005 访问冲突 0xC00000FD 堆栈溢出。请避免递归,将大堆栈缓冲区移到堆上,或者通过堆栈链接器选项增加堆栈大小。 0xC00
windows下并发I/O服务器模型对比(三):Winsock六种I/O模型的性能测试及分析
aflyeaglenku的博客(QQ1010316426)
01-22 5504
Winsock六种I/O模型的性能测试及分析
windows上的5种网络通信模型示例代码
Allen Roson
11-03 2639
一些好设计的经验: linux网络: 高性能网络编程IO复用和Epoll高效率之处-遍历的集合更小空间换时间/水平触发和边缘触发主动返回。 反应堆的设计模式-避免C风格的一个应用逻辑都需要处理多个对象而是用OO设计模式方式分离。 windows网络: select模型,WSAAsyncSelect模型,WSAEventSelect模型,重叠Overlapped IO模
关于ARM的内核架构
tuqiaozi的博客
05-23 1945
@TOC张凌001 关于ARM的内核架构 很多时候我们都会对M0,M0+,M3,M4,M7,arm7,arm9,CORTEX-A系列,或者说AVR,51,PIC等,一头雾水,只知道是架构,不知道具体是什么,有哪些不同?今天查了些资料,来解解惑,不是很详细,但对此有个大体了解。咱先来当下最火的ARM吧 1.ARM ARM即以英国ARM(Advanced RISC Machines)公司的内核芯片作为...
后端知识点链接(二):操作系统、Linux
小竤的博客
07-12 1552
操作系统 32位系统和64位系统有什么区别? 计算机基础----32位操作系统和64位操作系统的区别 C++中32位和64位有什么区别?C++那些细节–32位64位数据类型的区别 虚拟内存 【Linux】Linux的虚拟内存详解(MMU、页表结构) 虚拟内存页面置换算法 【操作系统 - 5】虚拟内存页面置换算法 用户态和内核态怎么切换,陷入内核态的方式有哪些 操作系统用户态和内核态之间的切换过程、PCB与进程分配资源 进程和线程的区别 进程、线程和协程之间的区别和联系、PCB与进程
vetur-0.37.3.vsix
07-19
1. 插件名称:Vetur 2. Marketplace地址:https://marketplace.visualstudio.com/items?itemName=octref.vetur 3. Github地址:https://github.com/vuejs/vetur.git 4. 插件功能:Vue tooling for VS Code 5. 插件介绍:New official vue editor support: Volar(新扩展用Volar!!!) 6. 插件领域:Vue开发
电子商务中工业发展趋势思索(1).docx
最新发布
07-19
电子商务中工业发展趋势思索(1).docx
开发过程和测试结果的软件质量评价研究.docx
07-19
开发过程和测试结果的软件质量评价研究.docx
基于Django的学生信息管理系统.zip
07-19
基于Django的学生信息管理系统
FREUDE弗莱德FP-6和6A和6A Pro电脑调音软件下载
07-19
FREUDE弗莱德FP-6和6A和6A Pro电脑调音软件下载
html-简历生成器.zip
07-19
html-简历生成器
ms-python.vscode-pylance-2025.6.2.vsix
07-19
1. 插件名称:Pylance 2. Marketplace地址:https://marketplace.visualstudio.com/items?itemName=ms-python.vscode-pylance 3. Github地址:https://github.com/microsoft/pylance-release.git 4. 插件功能:VS Code 中高性能、功能丰富的 Python 语言服务器 5. 插件介绍:Pylance 是一个与 Visual Studio Code 中的 Python 协同工作的扩展程序,可提供高性能的语言支持。Pylance 的底层由微软的静态类型检查工具Pyright提供支持。借助 Pyright,Pylance 能够通过丰富的类型信息增强您的 Python IntelliSense 体验,帮助您更快地编写出更优秀的代码。 6. 插件领域:Python开发
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值