windows_kernel_address_leaks
1.0.0
该存储库旨在提供功能代码,演示如何使用各种不同的方式从用户模式访问 Windows 中的内核模式指针。绿色票据表示在低完整性进程中发生的泄漏,蓝色勾号表示需要中等完整性进程的泄漏。
| 技术 | 7 | 8 | 8.1 | 10 - 1511 | 10 - 1607 | 10 - 1703 | 10 - 1703 + VBS |
|---|---|---|---|---|---|---|---|
| NtQuery系统信息: 系统句柄信息 系统锁信息 系统模块信息 系统进程信息 系统大池信息 |  | |  | | | | |
| 系统调用返回值 | |  | | | | | |
| Win32k 共享信息用户句柄表 | | | | | | | |
| 描述符表 | | | | | | | |
| HM验证句柄 | | | | | | | |
| Gdi共享句柄表 | | | | | | | |
| 桌面堆 | | | | | | | |
以下技术需要非标准权限。
| 技术 | 需要许可 | 7 | 8 | 8.1 | 10 - 1511 | 10 - 1607 | 10 - 1703 | 10 - 1703 + VBS |
|---|---|---|---|---|---|---|---|---|
| Nt系统调试控制: SysDbgGetTriageDump | SeDebug权限 | | | | | | |  |
| SeSystemProfile权限 |
有关不再有效的技术以及更改内容的更多详细信息:
https://samdb.xyz/revisiting-windows-security-hardening-through-kernel-address-protection/
Notes/gSharedInfo.md - 简要介绍 Creators Update/1703 中所做的更改。不是很具体或详细,我可能会重新审视它并创建更详细的内容,或者也许其他人会这样做。
待办的
Notes/NPIEP.md - 写了一篇非常简短的“这是一件事”,更多细节等待我在暑期实习生离开后拿回一台测试笔记本电脑......
我已经引用了我在哪里读到的技术以及代码中特定结构等的来源,但是这些可能不是信息的真正原始来源:)
许多函数原型和结构定义都取自 ReactOS。
FatCow 的绿色勾号图标 (http://www.fatcow.com/free-icons) [CC BY 3.0],来自 Wikimedia Commons
十字图标,作者:Cäsium137 [公共领域],来自 Wikimedia Commons
Blue Tick 作者:Gregory Maxwell,用户:David Levy,Wart Dark (en:Image:Blue check.png) [GFDL 1.2 (http://www.gnu.org/licenses/old-licenses/fdl-1.2.html)] ,来自维基共享资源
