windows_kernel_address_leaks
1.0.0
Dieses Repository zielt darauf ab, funktionierenden Code bereitzustellen, der die Verwendung verschiedener Möglichkeiten demonstriert, um vom Benutzermodus aus auf Kernelmoduszeiger in Windows zuzugreifen. Ein grünes Ticket weist auf ein Leck hin, das einen Prozess mit niedriger Integrität erfordert, und ein blaues Häkchen weist auf ein Leck hin, das einen Prozess mit mittlerer Integrität erfordert.
| Technik | 7 | 8 | 8.1 | 10 - 1511 | 10 - 1607 | 10 - 1703 | 10 - 1703 + VBS |
|---|---|---|---|---|---|---|---|
| NtQuerySystemInformation: SystemHandleInformation SystemLockInformation SystemModuleInformation SystemProcessInformation SystemBigPoolInformation |  | |  | | | | |
| Rückgabewerte von Systemaufrufen | |  | | | | | |
| Win32k-Shared-Info-Benutzer-Handle-Tabelle | | | | | | | |
| Deskriptortabellen | | | | | | | |
| HMValidateHandle | | | | | | | |
| GdiSharedHandleTable | | | | | | | |
| DesktopHeap | | | | | | | |
Die folgenden Techniken erfordern nicht standardmäßige Berechtigungen.
| Technik | Erlaubnis erforderlich | 7 | 8 | 8.1 | 10 - 1511 | 10 - 1607 | 10 - 1703 | 10 - 1703 + VBS |
|---|---|---|---|---|---|---|---|---|
| NtSystemDebugControl: SysDbgGetTriageDump | SeDebugPrivilege | | | | | | |  |
| SeSystemProfilePrivilege |
Noch ein paar Details zu Techniken, die nicht mehr funktionieren und was geändert wurde:
https://samdb.xyz/revisiting-windows-security-hardening-through-kernel-address-protection/
Notes/gSharedInfo.md – Ein kurzer Blick auf die Änderungen, die im Creators Update/1703 vorgenommen wurden. Nicht sehr konkret oder detailliert, ich könnte es mir noch einmal ansehen und etwas detaillierteres erstellen, oder vielleicht wird es jemand anderes tun.
Ausstehend
Notes/NPIEP.md – Ein sehr kurzer „Es ist eine Sache“-Beitrag, weitere Details warten darauf, dass ich einen Test-Laptop zurückbekomme, wenn die Sommerpraktikanten weg sind …
Ich habe darauf verwiesen, wo ich über eine Technik gelesen habe und woher bestimmte Strukturen usw. im Code stammen, es handelt sich jedoch möglicherweise nicht um die wahren Originalquellen der Informationen :)
Viele der Funktionsprototypen und Strukturdefinitionen stammen von ReactOS.
Grünes Häkchen-Symbol von FatCow (http://www.fatcow.com/free-icons) [CC BY 3.0], über Wikimedia Commons
Kreuzsymbol von Cäsium137 [Public domain], über Wikimedia Commons
Blue Tick von Gregory Maxwell, Benutzer:David Levy, Wart Dark (en:Image:Blue check.png) [GFDL 1.2 (http://www.gnu.org/licenses/old-licenses/fdl-1.2.html)] , über Wikimedia Commons
