TAGS
PTR DWORD 804ec09b f3a5 rep MOV es: [EDI], dword ptr [ESI]
Conductor vulnerables Análisis ingeniería inversa al conductor la comprobación de errores se activa después de la llamada de la función IofCompleteRequest.
La función IoCompleteRequest indica que el controlador ha completado todo el procesamiento para un IRP dado y está devolviendo el IRP de nuevo al administrador de E / S. IRP es un paquete de solicitud de O / I y es cómo Windows se comunica con los controladores. La estructura de datos PIR contiene información utilizada por los conductores.
La comparación de los datos del PIR Dado que el objetivo era encontrar la causa de por qué esta vulnerabilidad sólo se aplica a las versiones anteriores de Windows, empecé a comparar Windows XP a Windows 7. El establecimiento de un punto de interrupción antes de nuestra llamada a la función IoCompleteRequest y mirando a los datos IRP en WinDbg, podemos ver UserBuffer contiene la dirección de nuestra dirección de búfer de salida. Un cambio notable fue el valor de las "banderas". Windows XP tenía un valor de 0x70 mientras que Windows 7 tenía un valor de 0x60030
En Windows XP EBX contiene puntero en el IRP
kd> dt nt! _irp @ebx
Previous Post Next Post
.
