签名内核驱动程序 – 未受保护的Windows核心入口

文章预览

有多种类型的内核驱动程序；最先想到的是设备驱动程序，它们提供了对硬件设备的如 即插即用 接口或 过滤驱动程序 等的软体接口。这些低级系统组件有着严格的开发过程，包括对安全性的审查。然而，还有一些额外的“软件”驱动程序，它们设计为在 Ring 0 中运行，并提供特定的非硬件相关功能，如软件调试和诊断、系统分析等。如下面所示，这些驱动程序容易显著扩大攻击面。 虽然在较新版本的 Windows 中，直接加载恶意的未签名驱动程序已经不再可能（除非在启动时显式禁用驱动程序签名强制），并且内核 rootkit 被认为是过去的事了，但仍然有方法将恶意代码加载到内核中。虽然真正的漏洞和利用这些漏洞的方法受到了很多关注，但有一种更简单的方法：滥用合法的已签名驱动程序。有许多来自各种硬件和软件供应商的驱动程序，它们 ………………………………