欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Windows内核池喷射的愉悦

来源:本站整理 作者:佚名 时间:2017-09-21 TAG: 我要投稿

媒介——Windows内核池放射
我筹划写这一系列文章已经有一年了,我对这些器械做过一些研讨,然则常常会忘怀,也没有正确地写下条记。我想摸索的是甚么样的工具可以或许用于内核池放射,重要存眷于它们耗费若干空间,它们领有甚么属性,而且到末了写了一段代码,将池孔巨细(pool hole size)作为输入,而后静态地奉告咱们在这里应用甚么样的工具可以或许节制池分派以到达溢出的目标。我思虑这一成绩已经有段光阴了,让我再一次觉得高兴的是当我看到了来自 @steventseeley 的一条推特(https://twitter.com/steventseeley/status/904443608216031233),我决议把它写进去,另一方面也是我自己的兴致使然。
微软有一个很棒的内核工具列表,咱们可以或许通过挪用用户形式功效来创立内核工具,只管它不是很完备,但仍旧是一个很好的开端:https://msdn.microsoft.com/library/windows/desktop/ms724485(v=vs.85).aspx
另一个紧张的链接,是一个咱们可以或许找到 pool tag(译者注:poll tag是调试时用于辨认块的字符)的列表,当反省池分派时也是非常便利的:https://blogs.technet.microsoft.com/yongrhee/2009/06/23/pool-tag-list/
在这篇文章中,我想探究的是 Mutex 工具,因为条记不完备它让我很头疼,我会讲到若何找到并反省工具在池空间中的现实分派和工具自己的一些根本信息。
第一部门——情况设置装备摆设及工具巨细
在设置情况的部门,咱们其实不必要停止长途内核调试,停止当地内核调试就足够了,因为咱们只摸索内核内存,今朝也就不必要设置任何断点。以是当地调试足以满意咱们的需要。为此,咱们必要在 Windows 中启用调试:

bcdedit -debug ON
以后,必要重启机械。一旦实现,咱们就可以或许启动 WinDBG,转到内核调试,而后抉择当地调试。我倡议应用上面的敕令来加载标记:
.symfix
.reload
此时咱们就可以或许摸索内核内存空间了。我将应用 Win7 SP1 x86 停止演示。
起首,假如咱们盼望得到更全面的工具列表,可以或许应用上面的敕令:

!object \ObjectTypes
咱们会得到如许的器械:
lkd> !object \ObjectTypes
Object: 8be05880  Type: (851466d8) Directory
    ObjectHeader: 8be05868 (new version)
    HandleCount: 0  PointerCount: 44
    Directory Object: 8be05ed0  Name: ObjectTypes
    Hash Address  Type                      Name
    ---- -------  ----                      ----
     00  851d6900 Type                      TpWorkerFactory
         851466d8 Type                      Directory
     01  8521a838 Type                      Mutant
         851cddb0 Type                      Thread
     03  857c7c40 Type                      FilterCommunicationPort
     04  8522a360 Type                      TmTx
     05  851d29c8 Type                      Controller
     06  8521d0b8 Type                      EtwRegistration
     07  851fe9c8 Type                      Profile
         8521a9c8 Type                      Event
         851467a0 Type                      Type
     09  8521cce0 Type                      Section
         8521a900 Type                      EventPair
         85146610 Type                      SymbolicLink

[1] [2] [3] [4] [5] [6] [7] [8]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载