freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Iris:一款可执行常见Windows漏洞利用检测的WinDbg扩展
2019-10-03 15:00:49

Iris是一款WinDbg扩展,它可以针对常见的Windows进程缓解进行安全检测,并给研究人员提供详细的检测数据。

1.png2.png

我们可以从上面给出的截图中看到检测的详细信息,其中包括:

针对当前进程:

-DEP策略

-ASLR策略

-ACG策略

-系统调用策略(禁用Win32k系统调用)

-控制流守护策略

-图像加载签名策略(微软签名、存储签名)

-进程字体策略

-进程镜像加载策略

-缓解选项(SEHOP)

针对已加载的模块:

-DynamicBase

-ASLR

-DEP

-SEH

-SafeSEH

-CFG

-RFG

-GS

-AppContainer

如果你不知道上面这些关键词的意思,那么你需要自己上网搜索了。

工具安装

输入下列命令将项目代码拷贝到本地:

git clone https://github.com/fdiskyou/iris.git

接下来,将项目目录中的x86\iris.dll或x64\iris.dll文件拷贝到WinDbg的winext目录中(针对系统架构选择对应的x86或x64)。

WinDbg 10.0.xxxxx

除非你将调试工具安装到了非标准路径,否则你可以直接根据下面路径找到winext目录:

C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\winext

如果你使用的是32位系统,那么路径则为:

C:\Program Files (x86)\Windows Kits\10\Debuggers\x86\winext

加载扩展

完成了上述操作之后,我们就可以使用“.load iris”命令来加载扩展,并运行“!iris.help”命令来查看所有可用的命令了:

0:014> .load iris

[+] Iris WinDbg Extension Loaded

0:014> !iris.help

 

IRIS WinDbg Extension (rui@deniable.org). Available commands:

help                  = Shows this help

modules               = Display process mitigations for all loaded modules.

mitigations           = Display current process mitigation policy.

工具运行

正如文章开头的工具运行截图所示,我们可以直接运行“!iris.modules”(“!modules”)或“!iris.mitigations”(!mitigations)命令来使用Iris了。

项目地址

Iris:【GitHub传送门

*参考来源:fdiskyou,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

本文作者:, 转载请注明来自FreeBuf.COM

# 漏洞利用 # windows # Windbg # Iris
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑