文件名称:CheekyBlinder:使用已签名的易受攻击的驱动程序枚举和删除内核回调
文件大小:13KB
文件格式:ZIP
更新时间:2024-04-10 03:26:13
C++
厚脸皮 更新以包括图像加载和线程创建回调。 随附的博客文章: : TL:DR 防病毒和端点检测与响应产品使用内核回调来获得系统事件的可见性,例如: 流程创建 载入图片(exe / dll) 线程创建 档案建立 注册表修改 对象创建 以管理员身份输入内核内存不被视为安全边界,但是如何解决呢? 驱动程序可以*访问内核内存以执行其任务。存在易受攻击的驱动程序,它们允许完整的内核内存读/写操作。该程序是一个概念证明,它允许使用经过签名的易受攻击的MSI驱动程序枚举和修改其中一些内核回调。这可用于查看和删除端点安全产品使用的遥测源,从而导致这些产品的盲目性。 目前,Windows 1909/2004仅支持以下回调: 载入图像 线程创建 流程创建 注册表修改(目前只读) 未来的更新旨在包括: 注册表修改(写) 对象创建 Minifilter回调(文件创建/修改等) 可以从下载易受攻击的驱动程序
【文件预览】:
CheekyBlinder-master
----CheekyBlinder.sln(1KB)
----CheekyBlinder()
--------CheekyBlinder.vcxproj(7KB)
--------CheekyBlinder.vcxproj.filters(956B)
--------CheekyBlinder.cpp(21KB)
----.gitignore(6KB)
----README.md(3KB)
----.gitattributes(2KB)