有关CFB
CFB,全名为Canadian Furious Beaver,是一款功能齐全的Windows驱动程序模糊不清检测工具,该工具可以协助众多科学研究工作人员监管Windows驱动程序中的IRPCPU,并对Windows驱动程序系统漏洞开展剖析、复现和模糊不清检测。
CFB实质上是一款分布式系统工具,可以捕获发送给一切Windows驱动程序的IRP。它主要是由两部份构成:
(1) 该工具的“Broker”(代理商)融合了局端代理商和一个能将自身安裝到目的体系上的自获取驱动程序(IrpDumper.sys)。运作以后,它将曝露(在于编译程序选择项)远程控制命名管道(可从\\target.ip.address\pipe\cfb浏览)或监听TCP/1337的TCP端口。该工具所建立的通讯协议设计方案简易,容许一切第三方工具轻轻松松地(根据简洁的JSON信息)从同一个代理商存贮驱动程序IRP。
(2) CFB的GUI是一个选用ProcMon设计风格的Windows 10 UWP应用软件:它将连结到代理商所属的所有部位,并给予一个方便快捷的GUI来实际操作代理商(驱动程序枚举类型、勾子和IRP捕获)。它还带来了仿冒/播放IRP、全自动模糊不清检测(即对捕获的每一个IRP选用相应的模糊不清对策)或以各种各样文件格式获取IRP,便捷科学研究工作人员开展详细分析。捕获的统计数据可以以便于分析的文件格式(*.cfb=SQLite)储存在硬盘上,便于进一步剖析,或接着在GUI中重新加载。
虽然GUI显而易见必须Windows 10自然环境(UWP应用软件)中应用,但代理商自身可以构建在一切Windows 7 服务器(x86或x64)上。总体目标服务器务必开启testsigning BCD对策,由于自缓解压力驱动程序不兼容WHQL。
体制剖析
IrpDumper.sys是CFB Broker代理商的驱动程序一部分,它将在运作时全自动获取和安裝。驱动程序将承担根据代理商传送的IOCTL建空要求挂收到驱动程序的IRP主功能表。取得成功后,驱动程序的IRP表将偏向IrpDumper.sys阻拦程序流程,大家还可以轻轻松松根据程序调试或WinObjEx64之类的工具查询到有关信息。
IrpDumper.sys自身可以作为一个rootkit,并代理商全部对总体目标驱动程序的启用。当DeviceIoControl被发送给挂勾的驱动程序时,IrpDumper只需捕获数据信息(如果有),并将消息提醒到局端代理商,随后将实行回到给合理合法的驱动程序,进而容许预估的编码按预估执行。代理会将全部这种数据储存在客户地区中,等候事情去要求他们。
工具搭建
(1) GUI
最先,大家必须应用以下指令将该新项目源代码复制至当地:
下面,应用Visual Studio搭建新项目网站根目录中的CFB.sln代理商解决方法。此外,大家也可以根据搭建GUI(Unicersal Windows)新项目来搭建App GUI。
(2) 命令
最先,大家必须应用以下指令将该新项目源代码复制至当地:
随后根据VS命令终端设备运作以下指令:
在其中的$Conf可以设定为Releases或Debug。
工具安裝&配备
在Windows 7 机器设备上(强烈推荐应用Windows 10 SDK VM),开启BCD检测签字选择项(以管理权限运行cmd.exe):
假如采用了开发者模式,IrpDumper.sys将带来大量的详细资料。我们可以根据DebugView.exe之类的工具或WinDbg之类的核心程序调试来查看全部的有关信息。这时,大家务必开启核心调节BCD选择项(以管理权限运行cmd.exe):
工具运作截屏
IRP阻拦页面:
IRP详细信息
IRP播放:
新项目详细地址
CFB:【GitHub传送器】