利用GDRV.SYS驱动漏洞绕过Windows驱动签名校验(DSE)教学文档<\/h1>

1. 漏洞背景<\/h2>
GDRV.SYS是技嘉(Gigabyte)的一个驱动程序，存在任意地址读写漏洞(CVE-2018-19320)。该漏洞可以用于关闭Windows的驱动签名校验(DSE - Driver Signature Enforcement)。<\/p>

2. Windows驱动签名校验机制<\/h2>

Windows上的驱动签名校验由ci.dll<\/code>(位于%WINDIR%\System32\<\/code>)管理：<\/p>


Windows 8之前<\/strong>：使用全局布尔变量g_CiEnabled<\/code>控制签名校验<\/li>
Windows 8及以后<\/strong>：使用全局变量g_CiOptions<\/code>控制签名校验，它是一个标志组合：

0x0<\/code>：禁用签名校验<\/li>
0x6<\/code>：启用签名校验<\/li>
0x8<\/code>：测试模式<\/li>
<\/ul>
<\/li>
<\/ul>
3. GDRV.SYS漏洞分析<\/h2>
漏洞位于驱动中的0xC3502808<\/code>分支，该分支实现了memcpy功能，关键代码如下：<\/p>
v2 =<\/span> *<\/span>(__int64<\/span> **<\/span>)(a2 +<\/span> 24<\/span>);
<\/span><\/span>*<\/span>(_QWORD *<\/span>)(a2 +<\/span> 56<\/span>) =<\/span> 0<\/span>i64;
<\/span><\/span>if<\/span> (!<\/span>v2)
<\/span><\/span>    return<\/span> 3221225485<\/span>i64;
<\/span><\/span>v3 =<\/span> *<\/span>v2;
<\/span><\/span>v4 =<\/span> *<\/span>(unsigned<\/span> int<\/span> *<\/span>)(v2 +<\/span> 4<\/span>);
<\/span><\/span>v5 =<\/span> v2[1<\/span>];
<\/span><\/span>DbgPrint("Dest=%x,Src=%x,size=%d"<\/span>, *<\/span>v2, v5, (unsigned<\/span> int<\/span>)v4);
<\/span><\/span>if<\/span> ((_DWORD)v4) {
<\/span><\/span>    v6 =<\/span> v5 -<\/span> v3;
<\/span><\/span>    v7 =<\/span> v4;
<\/span><\/span>    do<\/span> {
<\/span><\/span>        *<\/span>(_BYTE *<\/span>)(v3 -<\/span> 1<\/span>) =<\/span> *<\/span>(_BYTE *<\/span>)(v6 +<\/span> v3);
<\/span><\/span>        v3++<\/span>;
<\/span><\/span>        --<\/span>v7;
<\/span><\/span>    } while<\/span> (v7);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>这段代码实现了从v5<\/code>地址向v3<\/code>地址拷贝v4<\/code>大小的数据，而v2<\/code>、v5<\/code>、v4<\/code>都来自IRP参数，形成了任意地址读写漏洞。<\/p>
4. 漏洞利用方法<\/h2>
4.1 定义数据结构<\/h3>
typedef<\/span> struct<\/span> _GIOMEMInput {
<\/span><\/span>    ULONG_PTR Dst;  \/\/ 目的地址
<\/span><\/span><\/span><\/span>    ULONG_PTR Src;  \/\/ 源地址
<\/span><\/span><\/span><\/span>    ULONG Size;     \/\/ 大小
<\/span><\/span><\/span><\/span>} GIOMEMInput, *<\/span>PGIOMEMInput;
<\/span><\/span><\/code><\/pre>4.2 利用IOCTL调用<\/h3>
NtDeviceIoControlFile(
<\/span><\/span>    DeviceHandle, 
<\/span><\/span>    nullptr, 
<\/span><\/span>    nullptr, 
<\/span><\/span>    nullptr, 
<\/span><\/span>    &<\/span>IoStatusBlock, 
<\/span><\/span>    IOCTL_GIO_MEMCPY, 
<\/span><\/span>    &<\/span>MemcpyInput, 
<\/span><\/span>    sizeof<\/span>(MemcpyInput), 
<\/span><\/span>    nullptr, 
<\/span><\/span>    0<\/span>
<\/span><\/span>);
<\/span><\/span><\/code><\/pre>通过这个调用可以实现：<\/p>

读取内核地址内容：将内核地址内容写入到变量中<\/li>
写入内核地址内容：将变量内容写入内核地址<\/li>
<\/ul>
5. 定位驱动校验变量地址<\/h2>
5.1 Windows 10系统<\/h3>
变量位于CI.dll!g_CiOptions<\/code>，查找方法：<\/p>

在CI.dll<\/code>的导出函数CiInitialize<\/code>中调用了CipInitialize<\/code>函数<\/li>
在CipInitialize<\/code>中存在mov cs:g_CiOptions, ecx<\/code>指令<\/li>
通过反汇编找到这条指令即可获取g_CiOptions<\/code>的地址<\/li>
<\/ol>
5.2 Windows 7系统<\/h3>
变量位于ntoskrnl.exe!g_CiEnabled<\/code>，查找方法与Windows 10类似。<\/p>
6. 具体实现步骤<\/h2>
6.1 加载CI.dll到内存空间<\/h3>
6.2 获取CI.dll的基址<\/h3>
使用NtQuerySystemInformation<\/code>函数，第一个参数设为11，遍历系统模块信息找到CI.dll<\/code>的基址。<\/p>
6.3 反汇编机器指令<\/h3>
推荐使用HDE64工具(https:\/\/github.com\/Cerbersec\/HDE64)进行反汇编。<\/p>
对于不同Windows版本：<\/p>

Windows 10 (18363)<\/strong>：在CiInitialize<\/code>中注意第二次call<\/code>指令(0xE8)<\/li>
Windows 10 (19044)<\/strong>：在CiInitialize<\/code>中注意第三次call<\/code>指令(0xE8)<\/li>
<\/ul>
在CipInitialize<\/code>函数中找到mov cs:g_CiOptions, ecx<\/code>指令，计算偏移地址。<\/p>
7. 绕过DSE<\/h2>

使用任意地址写入漏洞覆盖g_CiOptions<\/code>或g_CiEnabled<\/code>变量

设置为0<\/code>表示禁用驱动签名校验<\/li>
<\/ul>
<\/li>
加载未签名驱动<\/li>
重要<\/strong>：立即恢复原始值，因为DSE受PatchGuard保护，长时间修改会导致蓝屏<\/li>
<\/ol>
8. 注意事项<\/h2>

此方法需要管理员权限<\/li>
修改后必须尽快恢复原始值，避免触发PatchGuard<\/li>
不同Windows版本可能需要调整查找g_CiOptions<\/code>的方法<\/li>
此技术仅用于研究和授权测试目的<\/li>
<\/ol>
9. 防御措施<\/h2>

更新系统，修补GDRV.SYS漏洞<\/li>
启用Secure Boot<\/li>
使用Windows Defender等安全软件监控驱动加载行为<\/li>
定期检查系统已加载的驱动程序<\/li>
<\/ol>
10. 参考资源<\/h2>

CVE-2018-19320漏洞详情：https:\/\/seclists.org\/fulldisclosure\/2018\/Dec\/39<\/li>
HDE64反汇编工具：https:\/\/github.com\/Cerbersec\/HDE64<\/li>
Windows内核文档：https:\/\/docs.microsoft.com\/en-us\/windows-hardware\/drivers\/<\/li>
<\/ol>

利用GDRV.SYS驱动漏洞绕过Windows驱动签名校验(DSE)教学文档<\/h1>

1. 漏洞背景<\/h2>
GDRV.SYS是技嘉(Gigabyte)的一个驱动程序，存在任意地址读写漏洞(CVE-2018-19320)。该漏洞可以用于关闭Windows的驱动签名校验(DSE - Driver Signature Enforcement)。<\/p>

5. 定位驱动校验变量地址<\/h2>

5.2 Windows 7系统<\/h3>
变量位于`ntoskrnl.exe!g_CiEnabled<\/code>，查找方法与Windows 10类似。<\/p>`

6.1 加载CI.dll到内存空间<\/h3>

6.2 获取CI.dll的基址<\/h3>
使用`NtQuerySystemInformation<\/code>函数，第一个参数设为11，遍历系统模块信息找到CI.dll<\/code>的基址。<\/p>`

10. 参考资源<\/h2>

CVE-2018-19320漏洞详情：https:\/\/seclists.org\/fulldisclosure\/2018\/Dec\/39<\/li>
HDE64反汇编工具：https:\/\/github.com\/Cerbersec\/HDE64<\/li>
Windows内核文档：https:\/\/docs.microsoft.com\/en-us\/windows-hardware\/drivers\/<\/li> <\/ol>

利用GDRV.SYS驱动漏洞绕过Windows驱动签名校验(DSE)教学文档<\/h1>

1. 漏洞背景<\/h2> GDRV.SYS是技嘉(Gigabyte)的一个驱动程序，存在任意地址读写漏洞(CVE-2018-19320)。该漏洞可以用于关闭Windows的驱动签名校验(DSE - Driver Signature Enforcement)。<\/p>

5. 定位驱动校验变量地址<\/h2>

5.2 Windows 7系统<\/h3> 变量位于ntoskrnl.exe!g_CiEnabled<\/code>，查找方法与Windows 10类似。<\/p>

6.1 加载CI.dll到内存空间<\/h3>

6.2 获取CI.dll的基址<\/h3> 使用NtQuerySystemInformation<\/code>函数，第一个参数设为11，遍历系统模块信息找到CI.dll<\/code>的基址。<\/p>

10. 参考资源<\/h2> CVE-2018-19320漏洞详情：https:\/\/seclists.org\/fulldisclosure\/2018\/Dec\/39<\/li> HDE64反汇编工具：https:\/\/github.com\/Cerbersec\/HDE64<\/li> Windows内核文档：https:\/\/docs.microsoft.com\/en-us\/windows-hardware\/drivers\/<\/li> <\/ol>

1. 漏洞背景<\/h2>
GDRV.SYS是技嘉(Gigabyte)的一个驱动程序，存在任意地址读写漏洞(CVE-2018-19320)。该漏洞可以用于关闭Windows的驱动签名校验(DSE - Driver Signature Enforcement)。<\/p>

5.2 Windows 7系统<\/h3>
变量位于`ntoskrnl.exe!g_CiEnabled<\/code>，查找方法与Windows 10类似。<\/p>`

6.2 获取CI.dll的基址<\/h3>
使用`NtQuerySystemInformation<\/code>函数，第一个参数设为11，遍历系统模块信息找到CI.dll<\/code>的基址。<\/p>`

10. 参考资源<\/h2>

CVE-2018-19320漏洞详情：https:\/\/seclists.org\/fulldisclosure\/2018\/Dec\/39<\/li>
HDE64反汇编工具：https:\/\/github.com\/Cerbersec\/HDE64<\/li>
Windows内核文档：https:\/\/docs.microsoft.com\/en-us\/windows-hardware\/drivers\/<\/li> <\/ol>