Windows驱动程序中的__security_init_cookie导致错误检查KERNEL_SECURITY_CHECK_FAILURE

Windows 前端之家
前端之家收集整理的这篇文章主要介绍了Windows驱动程序中的__security_init_cookie导致错误检查KERNEL_SECURITY_CHECK_FAILURE前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
当我编译驱动程序时,当我以 Windows 8.1为目标时,会发生一些非常奇怪的事情.

一旦加载,它就会与错误检查KERNEL_SECURITY_CHECK_FAILURE,第一个参数6崩溃,这意味着“堆栈cookie安全cookie没有被加载器正确初始化”.

这可能是由于构建驱动程序仅在Windows 8上运行并尝试在早期版本的Windows上加载驱动程序映像引起的.要避免此问题,您必须构建驱动程序以在早期版本的Windows上运行“.当我以Windows 7为目标时,不会发生此错误.

我能够找到这个错误发生的确切位置.它发生在由GsDriverEntry调用的__security_init_cookie函数中.

INIT:000000014000C1B4 __security_init_cookie proc near        ; CODE XREF: GsDriverEntry+10p
INIT:000000014000C1B4                 mov     rax,cs:__security_cookie
INIT:000000014000C1BB                 test    rax,rax
INIT:000000014000C1BE                 jz      short loc_14000C1DA
INIT:000000014000C1C0                 mov     rcx,2B992DDFA232h
INIT:000000014000C1CA                 cmp     rax,rcx
INIT:000000014000C1CD                 jz      short loc_14000C1DA
INIT:000000014000C1CF                 not     rax
INIT:000000014000C1D2                 mov     cs:__security_cookie_complement,rax
INIT:000000014000C1D9                 retn
INIT:000000014000C1DA ; ---------------------------------------------------------------------------
INIT:000000014000C1DA
INIT:000000014000C1DA loc_14000C1DA:                          ; CODE XREF: __security_init_cookie+Aj
INIT:000000014000C1DA                                         ; __security_init_cookie+19j
INIT:000000014000C1DA                 mov     ecx,6
INIT:000000014000C1DF                 int     29h             ; Win8: RtlFailFast(ecx)

从这个反汇编中我们可以看到它执行了2次检查.

The first check checks if rax (__security_cookie) is zero and the 
second check compares it to 2B992DDFA232h.

但是,__ security_cookie在我的二进制文件中声明为2B992DDFA232h,因此永远不应该调用中断,但不知怎的.

Windows 8能够为加载的可执行映像生成安全cookie.安全cookie的位置存储在PE头中的LoadConfig数据目录中,以便Windows加载器可以轻松替换它.
原因是操作系统应该能够以安全的方式生成cookie(例如,如果可用则使用RDRAND指令和/或其他随机熵源).此外,无需将cookie初始化代码复制到每个驱动程序.

如果您的驱动程序针对Windows 8(及更新版本),则预计操作系统将初始化cookie.因此,如果cookie没有改变,它会提高BSOD.
另一方面,如果您的驱动程序针对较旧的操作系统(Windows 7),编译器必须生成初始化cookie的代码,如果它尚未由操作系统初始化.这样,驱动程序与所有Windows版本兼容.

我没有找到任何关于此Windows 8功能的官方说明,但这里有描述它的文章
Reversing Windows8: Interesting Features of Kernel Security

When loading the kernel driver,Windows 8 calls MiProcessLoadConfigForDriver to
generate security cookie,locates old security cookie in PE and replaces it.

New Windows8 kernel drivers will check if their security cookies are already replaced.

原文链接:https://www.f2er.com/windows/364386.html

猜你在找的Windows相关文章

[Windows]ping itsafe&环境变量
(1)when you ping a computer from itsafe,the ping command should return the local I...
win10启动telnet
1、点击win菜单,点击设置图标 2、选择系统选项 3、选择应用与程序选项 4、拉到最下方,选...
不能往Windows Server 2008 R2 Server中复制文件的解决方法
目前一直直接往Windows 2008 R2 Server中复制文件(暂时还没有搭建ftp服务),突然不能复制...
windows下使用vscode配合xebug调试php脚本
windows下使用vscode配合xebug调试php脚本 要下载有php_xebug.dll扩展的版本,最新版可能没...
windows - win10开启和安装ubuntu子系统
在控制面板的程序与功能里启用和关闭windows功能打开,适用于linux的windows子系统
Windows10开发指定端口号
一、打开控制面板,选择Window Defender防火墙 二、选择高级设置 三、右键入站规则,新建规...
Win10如何快速截屏
Win10不用QQ,如何快速截屏? 年轻的时候想截图总是需要把QQ打开,但是直到我遇到了一种尴...
windows10安装ubuntu双系统教程(绝对史上最详细) Windows10安装ubuntu16.04双系统教程Windows10安装ubuntu18.04双系统教程Windows10安装ubuntu16.04双系统教程
友情提示:如果你参照教程安装出现了问题,极有可能是因为不同电脑之间的差异导致,可能有...
Windows10安装ubuntu18.04双系统教程 Windows10安装ubuntu16.04双系统教程
写在前面:本教程为windows10安装ubuntu18.04(64位)双系统教程,是我多次安装双系统的经...
windows和ubuntu双系统修改默认启动项
安装完ubuntu系统后,打开电脑到选择系统的界面我们发现默认的是ubuntu系统,如果你是经常...
LinuxWindowsCentOSUbuntuNginxWebServiceScalaMemcacheApacheRedisDockerBashAzureTomcatLNMPShell数据结构服务器运维网络安全
xebugnodemondocker-copydcoselasticsearcwindows-contdocker-windodocker-awsamazon-cloudenvoyproxyhashicorp-vaswisscomdevkafka-pythonzscalerphoton-osdocker-swarmkamongoogle-cloudconcoursewso2-ampersistent-vapi-managerprocess-manamanjarojenkins-workhypriotremoteapikeystonejsbitcoindbitcoin-test