RobbinHood:利用Windows驱动程序漏洞关闭杀软的勒索软件

依靠对象句柄过滤进行篡改保护的端点保护进程无法防止内核模式的进程终止或文件删除。恶意驱动程序打开的进程句柄是内核句柄,而内核句柄是不能被过滤的。因此,恶意内核驱动程序可以杀死这些进程的同时不干扰端点安全控制。有一种解决方案是,让端点保护进程监视任何试图内核模式驱动程序的进程,并防止安装发生。如果该进程作为...

只需35个简单步骤:Windows内核EtwpNotifyGuid漏洞利用分析

1、打开进程token的句柄。2、获取内核中token对象的地址,同时使用NtQuerySystemInformation和SystemHandleInformation类,接收系统中的所有句柄,并进行循环,直至找到与token匹配的句柄并保存对象地址。3、根据token内的偏移量计算Privileges.Present和Privileges.Enabled的地址。4、使用我们找到的GUID,注册新的提供者。5、...