windows_kernel_address_leaks
1.0.0
此儲存庫旨在提供功能程式碼,示範如何使用各種不同的方式從使用者模式存取 Windows 中的核心模式指標。綠色票據表示在低完整性進程中發生的洩漏,藍色勾號表示需要中等完整性進程的洩漏。
| 科技 | 7 | 8 | 8.1 | 10 - 1511 | 10 - 1607 | 10 - 1703 | 10 - 1703 + VBS |
|---|---|---|---|---|---|---|---|
| NtQuery系統資訊: 系統句柄資訊 系統鎖定資訊 系統模組資訊 系統進程資訊 系統大池資訊 |  | |  | | | | |
| 系統呼叫返回值 | |  | | | | | |
| Win32k 共享資訊用戶句柄表 | | | | | | | |
| 描述符表 | | | | | | | |
| HM驗證句柄 | | | | | | | |
| Gdi共享句柄表 | | | | | | | |
| 桌面堆 | | | | | | | |
以下技術需要非標準權限。
| 科技 | 需要許可 | 7 | 8 | 8.1 | 10 - 1511 | 10 - 1607 | 10 - 1703 | 10 - 1703 + VBS |
|---|---|---|---|---|---|---|---|---|
| Nt系統調試控制: SysDbgGetTriageDump | SeDebug權限 | | | | | | |  |
| SeSystemProfile權限 |
有關不再有效的技術以及更改內容的更多詳細資訊:
https://samdb.xyz/revisiting-windows-security-hardening-through-kernel-address-protection/
Notes/gSharedInfo.md - 簡單介紹 Creators Update/1703 中所做的變更。不是很具體或詳細,我可能會重新審視它並創建更詳細的內容,或者也許其他人會這樣做。
待辦的
Notes/NPIEP.md - 寫了一篇非常簡短的“這是一件事”,更多細節等待我在暑期實習生離開後拿回一台測試筆記型電腦...
我已經引用了我在哪裡讀到的技術以及程式碼中特定結構等的來源,但是這些可能不是資訊的真正原始來源:)
許多函數原型和結構定義都取自 ReactOS。
FatCow 的綠色勾號圖示 (http://www.fatcow.com/free-icons) [CC BY 3.0],來自 Wikimedia Commons
十字圖標,作者:Cäsium137 [公共領域],來自 Wikimedia Commons
Blue Tick 作者:Gregory Maxwell,使用者:David Levy,Wart Dark (en:Image:Blue check.png) [GFDL 1.2 (http://www.gnu.org/licenses/old-licenses/fdl-1.2.html) ] ,來自維基共享資源
