windows_kernel_address_leaks
1.0.0
Целью этого репозитория является предоставление функционирующего кода, демонстрирующего использование различных способов получения доступа к указателям режима ядра в Windows из пользовательского режима. Зеленый билет указывает на утечку, которая возникает из-за процесса с низкой целостностью, а синяя галочка указывает на утечку, требующую процесса со средней целостностью.
| Техника | 7 | 8 | 8.1 | 10 - 1511 | 10 - 1607 | 10 - 1703 | 10 - 1703 + ВБС |
|---|---|---|---|---|---|---|---|
| Нткуериесистеминформатион: СистемХандлеИнформация Системная блокировкаинформация СистемМодулеИнформация Информация о системном процессе Информация о системеBigPool |  | |  | | | | |
| Возвращаемые значения системного вызова | |  | | | | | |
| Таблица дескрипторов пользователей общей информации Win32k | | | | | | | |
| Таблицы дескрипторов | | | | | | | |
| HMValidateHandle | | | | | | | |
| GdiSharedHandleTable | | | | | | | |
| Рабочий столКуча | | | | | | | |
Следующие методы требуют нестандартных разрешений.
| Техника | Требуется разрешение | 7 | 8 | 8.1 | 10 - 1511 | 10 - 1607 | 10 - 1703 | 10 - 1703 + ВБС |
|---|---|---|---|---|---|---|---|---|
| Нтсистемдебугконтрол: SysDbgGetTriageDump | SeDebugPrivilege | | | | | | |  |
| SeSystemProfilePrivilege |
Еще немного подробностей о методах, которые больше не работают и что было изменено:
https://samdb.xyz/revisiting-windows-security-hardening-through-kernel-address-protection/
Notes/gSharedInfo.md — краткий обзор изменений, внесенных в Creators Update/1703. Не очень конкретно и подробно, я мог бы вернуться к этому и создать что-то более подробное, или, возможно, это сделает кто-то другой.
В ожидании
Notes/NPIEP.md - Очень краткая запись "это вещь", более подробная информация ожидается, когда я получу тестовый ноутбук, когда летние стажеры уйдут...
Я дал ссылку на то, где я читал о методе и откуда в коде взялись конкретные структуры и т. д., однако это могут быть не настоящие оригинальные источники информации :)
Многие прототипы функций и определения структур взяты из ReactOS.
Значок зеленой галочки от FatCow (http://www.fatcow.com/free-icons) [CC BY 3.0], через Wikimedia Commons
Значок креста. Автор: Cäsium137 [Общественное достояние], через Wikimedia Commons.
Blue Tick, автор: Грегори Максвелл, пользователь: Дэвид Леви, Wart Dark (en:Image:Blue check.png) [GFDL 1.2 (http://www.gnu.org/licenses/old-licenses/fdl-1.2.html)] , через Викисклад
