MS10-021からMS11-011への変更点についてのカーネル解析

・RtlQueryRegistryConfig\TrustedTypesKeyList ポリシーによる RtlQueryRegistryValues をブロックする機能の追加(アドレス 0055E9C1付近)
・上記の変更に伴う RtlQueryRegistryValues の大幅書き換え。

・WmiTraceMessageVa の未チェックのバッファのオーバーフロー処理(アドレス 0046E893 付近)
・NtFlushVirtualMemory(KERNEL 0x50)の未チェックのバッファーのオーバーフロー処理  (00505795 付近)
・NtSetInformationFile などの未チェックのバッファーのオーバーフロー処理 (0542387 付近)

上2つは追加機能なので無視するとして、下3つは2000用のパッチに必須かな
実行ファイル大きすぎて解析に疲れた|。・ω・)

ちなみに、XPの場合、RtlQueryRegistryConfig\TrustedTypesKeyList はNTDLLにも追加されているよ。

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です