Loading... 参考资料: 知乎一片文章,有趣的引入: https://www.zhihu.com/question/439405493/answer/1698965031 RobbinHood勒索病毒,利用带签名合法的技嘉驱动程序的漏洞,达成内核任意读写后更改 g_CiEnable 或 g_CiOptions 字段关闭 DSE,然后立刻加载没有签名的 rootkit 后又立刻开启 DSE,因为 DSE 相关字段受 PG 保护。 https://ti.qianxin.com/blog/articles/robbinhood-ransomware-goes-through-anti-virus-software-through-driver-vulnerability/ Win8 前由 nt!g_CiEnable 字段控制,为 1 开启,为 0 关闭,在系统初始化时在 SepInitializeCodeIntegrity 中初始化。  Win8 开始不再使用 nt!g_CiEnable 字段,而是使用 CI!g_CiOptions 字段,为 6 是默认值,为 0 关闭,由 ntSepInitializeCodeIntegrity 转入 CI!CipInitialize。CI 即是 CI.dll,code integrity,代码完整性。  这两个字段是不导出的,所以一般需要通过内核漏洞(待补充一些CVE),配合硬编码或者内存搜索来确认字段位置。 注: 其它资料: https://blog.csdn.net/aihan8042/article/details/101279148 https://www.powerofcommunity.net/poc2012/mj0011.pdf 最后修改:2021 年 12 月 10 日 02 : 51 PM © 允许规范转载