Information Security Certifications (Complete Vendor Zertifikate List)
804ec09b f3a5 rep movs dword ptr es: [edi] dword ptr [esi]
Vulnerable Treiberanalyse Reverse Engineering der Fahrer die Bugcheck nach dem Aufruf der Funktion IofCompleteRequest ausgelöst wird.
Die IoCompleteRequest Funktion zeigt an, dass der Fahrer die gesamte Verarbeitung für eine gegebene IRP abgeschlossen hat und die IRP zurück zu dem I / O-Manager zurück. IRP ist ein I / O-Anforderungspaket und ist, wie Windows mit Treibern in Verbindung steht. Die IRP-Datenstruktur enthält Informationen, die von Treibern verwendet.
Vergleicht man IRP Daten Da das Ziel gilt, die Ursache, warum diese Verwundbarkeit zu finden war nur für ältere Versionen von Windows, begann ich den Vergleich von Windows XP auf Windows 7 einen Haltepunkt vor unseren Aufruf Einstellung zur IoCompleteRequest Funktion und Blick auf die IRP Daten in WinDbg können wir Userbuffer enthält die Adresse unserer Ausgangspuffer-Adresse zu sehen. Eine merkliche Veränderung war die "Flags" Wert. Windows XP hatte einen Wert von 0x70 während Windows 7 einen Wert von 0x60030 hatte
In Windows XP ebx enthält Zeiger im IRP
kd> dt nt! _irp @ebx
Kaspersky Endpoint Security 2014 Endpoint-Security-10 Fenster 10