歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

Iris:一款可執行常見Windows漏洞利用檢測的WinDbg擴展

來源:本站整理 作者:佚名 時間:2019-10-06 TAG: 我要投稿

Iris是一款WinDbg擴展,它可以針對常見的Windows進程緩解進行安全檢測,并給研究人員提供詳細的檢測數據。


我們可以從上面給出的截圖中看到檢測的詳細信息,其中包括:
針對當前進程:
-DEP策略
-ASLR策略
-ACG策略
-系統調用策略(禁用Win32k系統調用)
-控制流守護策略
-圖像加載簽名策略(微軟簽名、存儲簽名)
-進程字體策略
-進程鏡像加載策略
-緩解選項(SEHOP)
針對已加載的模塊:
-DynamicBase
-ASLR
-DEP
-SEH
-SafeSEH
-CFG
-RFG
-GS
-AppContainer
如果你不知道上面這些關鍵詞的意思,那么你需要自己上網搜索了。
工具安裝
輸入下列命令將項目代碼拷貝到本地:
git clone https://github.com/fdiskyou/iris.git
接下來,將項目目錄中的x86\iris.dll或x64\iris.dll文件拷貝到WinDbg的winext目錄中(針對系統架構選擇對應的x86或x64)。
WinDbg 10.0.xxxxx
除非你將調試工具安裝到了非標準路徑,否則你可以直接根據下面路徑找到winext目錄:
C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\winext
如果你使用的是32位系統,那么路徑則為:
C:\Program Files (x86)\Windows Kits\10\Debuggers\x86\winext
加載擴展
完成了上述操作之后,我們就可以使用“.load iris”命令來加載擴展,并運行“!iris.help”命令來查看所有可用的命令了:
0:014> .load iris
[+] Iris WinDbg Extension Loaded
0:014> !iris.help
 
IRIS WinDbg Extension ([email protected]). Available commands:
 help                  = Shows this help
 modules               = Display process mitigations for all loaded modules.
 mitigations           = Display current process mitigation policy.
工具運行
正如文章開頭的工具運行截圖所示,我們可以直接運行“!iris.modules”(“!modules”)或“!iris.mitigations”(!mitigations)命令來使用Iris了。
項目地址
Iris:【GitHub傳送門

【聲明】:黑吧安全網(http://www.eyhadu.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        彩票大数据