探索系统边界:GhostMapperUM,用户模式下的未签名驱动映射神器
项目介绍
GhostMapperUM 是一个创新的开源工具,它扩展了由@Oliver-1-1发起的概念验证PoC——GhostMapper。与原始PoC不同的是,GhostMapperUM完全在用户模式下运行,无需依赖内核模块,实现了一种更贴近实际使用的 GhostMapper 版本。通过巧妙利用英特尔的iqvw64e.sys漏洞和kdmapper工具链,GhostMapperUM能够手动将未签名的驱动程序映射到已签名的内存空间中。
项目技术分析
GhostMapperUM 的核心在于对系统内存管理机制的理解和操作。首先,它会读取配置文件中指定的未签名驱动,并寻找名为'dump_stronvme.sys'的特定"幽灵"驱动的基地址。接着,它会进行重定位处理,并修复目标驱动的导入项。然后,利用iqvw64e.sys提供的读/写原语修改页表条目(PTEs),标记整个"幽灵"驱动的范围为可执行(RWX)。完成这些步骤后,GhostMapperUM会在内存中覆盖"幽灵"驱动,而不会触发只读权限保护,最后通过修改系统调用,调用已映射驱动的入口点。
项目及技术应用场景
GhostMapperUM的技术有多种潜在的应用场景:
- 调试与研究:对于那些要求签名驱动但又难以获得的场合,开发者可以利用此工具快速测试自己的驱动代码。
- 安全分析:安全研究人员可以借此绕过某些安全限制,深入探究系统的安全性,发现潜在的漏洞。
- 反恶意软件对策:某些恶意软件可能会阻止未签名驱动加载,GhostMapperUM提供了一种可能的规避手段。
项目特点
- 全用户模式实现:无须内核模块,降低风险,更容易部署和使用。
- 灵活适应性:只需简单配置即可映射任何未签名驱动,适用范围广泛。
- 智能恢复:GhostMapperUM 提供了恢复原始驱动的功能,确保在完成后不会留下痕迹。
- 安全性考虑:虽然存在被检测的风险,但在一些情况下,由于“幽灵”驱动路径不合法,可能逃脱部分反作弊或杀毒软件的检查。
请记住,尽管GhostMapperUM提供了强大的功能,但使用时务必谨慎,遵循所有相关法律和最佳实践。在你的具体使用案例中,请自行评估并处理可能的安全和检测问题。
要开始探索,只需设置好配置,编译并运行GhostMapperUM.exe,你的未签名驱动就能在受信任的环境中活动起来。为了更深入的理解和应用,建议阅读原始GhostMapper仓库中的详细说明。
警告:请勿用于非法或未经授权的用途。使用此类工具需具备一定的技术背景和风险意识。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
