Comments 6
UFO just landed and posted this here
Это вполне себе документированная возможность:
msdn.microsoft.com/en-us/library/windows/hardware/ff559957(v=vs.85).aspx
msdn.microsoft.com/en-us/library/windows/hardware/ff559957(v=vs.85).aspx
-1
не понятно, что это за условия, если они работают от бесправного пользователя, тогда странно такое заявление (кстати а где они это заявили?) от мс
-1
Условия есть в оригинальной работе.
Нужно замапить файл в память, при этом подсистема VM получает ссылку на filename, буфером владеет подсистема FS. Если потом переименовать файл в больший размер, буферу под filename делается realloc и указатель, хранящийся в VM, не показывает на актуальное имя файла.
Когда загрузчик обращается к VM, чтобы замапить файл в новый процесс, VM видит, что файл уже имеет структуры описания маппингов сегментов и использует их. А нотификация загрузки берёт имя файла из данных VM, где имя может быть уже неверным.
Нужно замапить файл в память, при этом подсистема VM получает ссылку на filename, буфером владеет подсистема FS. Если потом переименовать файл в больший размер, буферу под filename делается realloc и указатель, хранящийся в VM, не показывает на актуальное имя файла.
Когда загрузчик обращается к VM, чтобы замапить файл в новый процесс, VM видит, что файл уже имеет структуры описания маппингов сегментов и использует их. А нотификация загрузки берёт имя файла из данных VM, где имя может быть уже неверным.
+1
Он может не позволить антивирусу узнать о загрузке исполняемого файла.
Мне всегда казалось что антивирусы в общем случае контролирует файлы в момент доступа а не в момент мапления исполняемого файла в память… В оригинальной статье Микрософт вроде тоже на это косвенно указывает: «Microsoft told EnSilo researchers that since the bug requires a targeted system to have some type of preexisting compromise it will not “fix” that type of unanticipated vulnerability». Хотя совершенно непонятно почему не хотят исправить функцию…
-1
Sign up to leave a comment.
Security Week 36: черная дыра в ядре Windows, омограф Adobe атакует, крупнейшая утечка данных в США