In questo documento è una tecnica dettagliata di utilizzo del kernel di Windows. Ma lo scrittore sta parlando dell'accesso alla memoria e all'amplificazione del kernel; facendo exploit dall'applicazione in modalità utente allo stesso tempo. Posso farlo dall'applicazione in modalità utente o devo farlo dal driver? Grazie.
Hai bisogno dei diritti di amministratore per ottenere normalmente il codice nel kernel, e il codice viene solitamente eseguito da un driver. Il codice in modalità utente non può essere eseguito da progetto nel kernel, quindi devi trovare una vulnerabilità di bypass per superare la barriera in modalità utente. Se riesci a trovare una tale vulnerabilità, puoi eseguirla dalla modalità utente.
Altri vettori di attacco devono trovare una vulnerabilità EOP, elevare ad amministratore e installare un driver malevolo.
Il documento utilizza l'API di Windows ( NtQuerySystemInformation , NtOpenThreadToken ...) per avere il puntatore degli oggetti del kernel come _EPROCESS, _TOKEN, OBJECT_HEADER. Questo è fatto da User land .
Conoscere l'indirizzo del puntatore consente di alterare questi oggetti , ma questo può essere fatto solo dal kernel Kernel , ad esempio sfruttando un driver o una vulnerabilità dell'API del kernel che potrebbe consentire la scrittura arbitraria.