Iris是一款WinDbg擴展，它可以針對常見的Windows進程緩解進行安全檢測，並給研究人員提供詳細的檢測數據。

我們可以從上面給出的截圖中看到檢測的詳細信息，其中包括：

針對當前進程：

-DEP策略
-ASLR策略
-ACG策略
-系統調用策略（禁用Win32k系統調用）
-控制流守護策略
-圖像加載簽名策略（微軟簽名、存儲簽名）
-進程字體策略
-進程鏡像加載策略
-緩解選項（SEHOP）

針對已加載的模塊：

-DynamicBase
-ASLR
-DEP
-SEH
-SafeSEH
-CFG
-RFG
-GS
-AppContainer

如果你不知道上面這些關鍵詞的意思，那麼你需要自己上網搜索了。

工具安裝

輸入下列命令將項目代碼拷貝到本地：

git clone https://github.com/fdiskyou/iris.git

接下來，將項目目錄中的x86\iris.dll或x64\iris.dll文件拷貝到WinDbg的winext目錄中（針對系統架構選擇對應的x86或x64）。

WinDbg 10.0.xxxxx

除非你將調試工具安裝到了非標準路徑，否則你可以直接根據下面路徑找到winext目錄：

C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\winext

如果你使用的是32位系統，那麼路徑則爲：

C:\Program Files (x86)\Windows Kits\10\Debuggers\x86\winext

加載擴展

完成了上述操作之後，我們就可以使用“.load iris”命令來加載擴展，並運行“!iris.help”命令來查看所有可用的命令了：

0:014> .load iris

[+] Iris WinDbg Extension Loaded

0:014> !iris.help

 

IRIS WinDbg Extension ([email protected]). Available commands:

help                  = Shows this help

modules               = Display process mitigations for all loaded modules.

mitigations           = Display current process mitigation policy.

工具運行

正如文章開頭的工具運行截圖所示，我們可以直接運行“!iris.modules”（“!modules”）或“!iris.mitigations”（!mitigations）命令來使用Iris了。

項目地址

Iris：【 GitHub傳送門 】

*參考來源： fdiskyou ，FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM