Iris:一款可執行常見Windows漏洞利用檢測的WinDbg擴展
Iris是一款WinDbg擴展,它可以針對常見的Windows進程緩解進行安全檢測,並給研究人員提供詳細的檢測數據。
我們可以從上面給出的截圖中看到檢測的詳細信息,其中包括:
針對當前進程:
-DEP策略 -ASLR策略 -ACG策略 -系統調用策略(禁用Win32k系統調用) -控制流守護策略 -圖像加載簽名策略(微軟簽名、存儲簽名) -進程字體策略 -進程鏡像加載策略 -緩解選項(SEHOP)
針對已加載的模塊:
-DynamicBase -ASLR -DEP -SEH -SafeSEH -CFG -RFG -GS -AppContainer
如果你不知道上面這些關鍵詞的意思,那麼你需要自己上網搜索了。
工具安裝
輸入下列命令將項目代碼拷貝到本地:
git clone https://github.com/fdiskyou/iris.git
接下來,將項目目錄中的x86\iris.dll或x64\iris.dll文件拷貝到WinDbg的winext目錄中(針對系統架構選擇對應的x86或x64)。
WinDbg 10.0.xxxxx
除非你將調試工具安裝到了非標準路徑,否則你可以直接根據下面路徑找到winext目錄:
C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\winext
如果你使用的是32位系統,那麼路徑則爲:
C:\Program Files (x86)\Windows Kits\10\Debuggers\x86\winext
加載擴展
完成了上述操作之後,我們就可以使用“.load iris”命令來加載擴展,並運行“!iris.help”命令來查看所有可用的命令了:
0:014> .load iris [+] Iris WinDbg Extension Loaded 0:014> !iris.help IRIS WinDbg Extension ([email protected]). Available commands: help = Shows this help modules = Display process mitigations for all loaded modules. mitigations = Display current process mitigation policy.
工具運行
正如文章開頭的工具運行截圖所示,我們可以直接運行“!iris.modules”(“!modules”)或“!iris.mitigations”(!mitigations)命令來使用Iris了。
項目地址
Iris:【 GitHub傳送門 】
*參考來源: fdiskyou ,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM