120购彩

让建站和SEO变得简单

让不懂建站的用户快速建站,让会建站的提高建站效率!

你的位置:120购彩 > 公司资讯 >
怎么使用CFB对Windows驱动递次进行无极测试
发布日期:2022-03-13 20:11    点击次数:158

对于CFB

CFB,全名为Canadian Furious Beaver,是一款功能刚劲的Windows驱动递次无极测试器具,该器具不错匡助巨大商议人员监控Windows驱动递次中的IRP处理器,并对Windows驱动递次罅隙进行分析、复现和无极测试。

CFB骨子上是一款散播式器具,不错捕捉发送给任何Windows驱动递次的IRP。它主要由两部分构成:

(1) 该器具的“Broker”(代理)集会了用户端代理和一个能将我方装配到谋略系统上的自索求驱动递次(IrpDumper.sys)。初始之后,它将流露(取决于编译选项)汉典定名管道(可从\\target.ip.address\pipe\cfb拜访)或侦听TCP/1337的TCP端口。该器具所闭幕的通讯契约盘算通俗,允许任何第三方器具平凡地(通过通俗的JSON音书)从合并个代理转储驱动递次IRP。

(2) CFB的GUI是一个接纳ProcMon作风的Windows 10 UWP运用递次:它将运动到代理处所的任何位置,并提供一个便捷的GUI来操作代理(驱动递次陈列、钩子和IRP拿获)。它还提供了伪造/重放IRP、自动无极测试(即对拿获的每个IRP接纳特定的无极战略)或以多样款式索求IRP,便捷商议人员进行深刻分析。拿获的数据不错以易于剖释的款式(*.cfb=SQLite)保存在磁盘上,以便进一步分析,或随后在GUI中从头加载。

尽管GUI显豁需要Windows 10环境(UWP运用递次)中使用,但代理自己不错部署在职何Windows 7+主机(x86或x64)上。谋略主机必须启用testsigning BCD战略,因为自解压驱动递次不复古WHQL。

机制分析

IrpDumper.sys是CFB Broker代理的驱动递次部分,它将在启动时自动索乞降装配。驱动递次将肃肃通过代理传递的IOCTL挂接苦求挂接到驱动递次的IRP主功能表。奏效后,驱动递次的IRP表将指向IrpDumper.sys阻挠递次,咱们也不错平凡通过调试器或WinObjEx64之类的器具稽查到关系信息。

IrpDumper.sys自己不错充任一个rootkit,并代理扫数对谋略驱动递次的调用。当DeviceIoControl被发送给挂钩的驱动递次时,IrpDumper只需拿获数据(若是有),并将音书推送到用户端代理,然后将扩充复返给正当的驱动递次,从而允许预期的代码按预期无间扩充。代招待将扫数这些数据存储在用户区域中,恭候事件去苦求它们。

器具构建

(1) GUI

领先,咱们需要使用下列敕令将该表情源码克隆至腹地:

git clone https://github.com/hugsy/CFB.git 

接下来,使用Visual Studio构建表情根目次中的CFB.sln代领略决决议。除此以外,咱们还不错通过构建GUI(Unicersal Windows)表情来构建App GUI。

(2) 敕令行

领先,咱们需要使用下列敕令将该表情源码克隆至腹地:

git clone https://github.com/hugsy/CFB.git 

然后通过VS敕令行末端初始下列敕令:

C:\cfb\> msbuild CFB.sln /p:Configuration=$Conf 

其中的$Conf不错缔造为Releases或Debug。

器具装配&建树

在Windows 7+确立上(推选使用Windows 10 SDK VM),启用BCD测试签名选项(以惩处员权限启动cmd.exe):

C:\> bcdedit.exe /set {whatever-profile} testsigning on 

若是使用了调试模式,IrpDumper.sys将提供更多的详备信息。咱们不错通过DebugView.exe之类的器具或WinDbg之类的内核调试器来稽查一起的关系信息。此时,咱们必须启用内核调试BCD选项(以惩处员权限启动cmd.exe):

C:\> bcdedit.exe /set {whatever-profile} debug on 
器具初始截图

IRP阻挠界面:

IRP笃定

IRP重放:

表情地址

CFB:【GitHub传送门】



上一篇:没有了
下一篇:荷慕奶粉有多“抉剔”?含有高达60%寥落自然乳脂