安全开发架构师

小刀志

代码在线跑，知识轻松学

Python精品学习库

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

博客搬家 | 分享价值百万资源包

往期视频·干货材料·成员作品 最新动态

技术创作特训营·精选知识专栏

新邀入驻腾讯云开发者社区，福利多多！

如何运用「云、端融合的数智化安全体系」高效护航数据安全

左手AI，右手安全 —— 一汽丰田数字化转型之路

CVE-2017-0263 is a UAF vulnerability in Menu Management Component in win32k kernel module of Windows operating system, which was reported to be used to attack with an EPS vulnerability to interfere the French election. This article will simply analyze the CVE-2017-0263 part of the attacking sample in order to come up with the operation principle and basic exploiting idea of this vulnerability, and make a brief investigation into the Menu Management Component of Windows Window Manager Subsystem. The analyzing environment is Windows 7 x86 SP1 basic virtual machine.

From CVE-2017-0263 To Windows Menu Management Component

这篇文章将分析 Windows 操作系统 win32k 内核模块窗口管理器子系统中的 CVE-2015-2546 漏洞，与上一篇分析的 CVE-2017-0263 漏洞类似地，这个漏洞也是弹出菜单 tagPOPUPMENU 对象的释放后重用（UAF）漏洞。分析的环境是 Windows 7 x86 SP1 基础环境的虚拟机。

对 UAF 漏洞 CVE-2015-2546 的分析和利用

This article will analyze a UAF vulnerability in win32k Window Manager (User) Subsystem in Windows: CVE-2015-2546. Similar to CVE-2017-0263 analyzed in the previous article, this vulnerability is use-after-free of popup menu tagPOPUPMENU object as well. The analyzing environment is Windows 7 x86 SP1 basic virtual machine.

CVE-2015-2546 UAF Analysis and Exploitation

这篇文章将对 Windows 释放后重用（UAF）内核漏洞  CVE-2016-0167 进行一次简单的分析并构造其利用验证代码。该漏洞在 2016 年据报道称被用于攻击支付卡等目标的数据，并和之前分析的 CVE-2016-0165 在同一个补丁程序中被微软修复。针对该漏洞的分析和测试是在 Windows 7 x86 SP1 基础环境的虚拟机中进行的。

对 UAF 漏洞 CVE-2016-0167 的分析和利用

微软在 5 月安全公告中包含并修复了 4 个 win32k 内核提权漏洞。这篇文章将通过补丁对比的方式，发现并分析补丁程序中修复的一个由某处空指针解引用导致的提权漏洞，最终实现其验证和利用代码。分析和调试的过程将在 Windows 7 x86 SP1 基础环境的虚拟机中进行。

通过对比 5 月补丁分析 win32k 空指针解引用漏洞

Microsoft shipped and fixed four win32k kernel Escalation of Privilege vulnerabilities in the May security bulletin. This article will discover and analyze one of these vulnerabilities caused by a null pointer dereference fixed by the patch program, and will finally attempt to implement its proof and exploitation code. The analyzing and debugging process will take place in a virtual machine of Windows 7 x86 SP1 basic environment.

Win32k NULL-Pointer-Dereference Analysis by Matching the May Update

前面的文章分析了 CVE-2016-0165 整数上溢漏洞，这篇文章继续分析另一个同样发生在 GDI 子系统的一个整数向上溢出漏洞（在分析此漏洞时，误以为此漏洞是 MS17-017 公告中的 CVE-2017-0101 漏洞，近期根据 @MJ 的提醒，发现此漏洞不是 CVE-2017-0101 而可能是 CVE-2017-0102 或其他在此公告中隐性修复的漏洞，在此更正，并向给各位读者带来的误导致歉）。分析的环境是 Windows 7 x86 SP1 基础环境的虚拟机，配置 1.5GB 的内存。

分析笔记：MS17-017 中的整数溢出漏洞

CVE-2017-0263 是 Windows 操作系统 win32k 内核模块菜单管理组件中的一个 UAF（释放后重用）漏洞，据报道称该漏洞在之前与一个 EPS 漏洞被 APT28 组织组合攻击用来干涉法国大选。这篇文章将对用于这次攻击的样本的 CVE-2017-0263 漏洞部分进行一次简单的分析，以整理出该漏洞利用的运作原理和基本思路，并对 Windows 窗口管理器子系统的菜单管理组件进行简单的探究。分析的环境是 Windows 7 x86 SP1 基础环境的虚拟机。

从 CVE-2017-0263 漏洞分析到 Windows 菜单管理组件

翻译自英文文章：《Enriching Threat Intelligence Platforms Capabilities》。文章讲述一个丰富化的威胁情报平台的实现思路，以扩展当前 TIP 中的导入、质量评估过程和信息共享功能。原文链接在文后可见。

丰富化威胁情报平台的能力

“看见”的能力始终伴随着“不看见”的能力，正如“太极”的两部分。什么是看见？看见一片大海、一片星空、一片沙漠，是看见吗？正是由于有选择的不看见的能力，忽略过滤排除筛选，去除大量无效信息，才能拨云见日、从茫茫大海星空沙漠中看见更加有价值的东西。

基于海量样本数据的高级威胁发现

最近发现有很多漏洞利用或木马程序样本会通过一些技术手段，达到使自动化检测系统或分析人员调试工具的栈回溯机制失效的目的。在本文中我将会简单分析和推测一下这类恶意样本都是通过哪些套路来实现和栈回溯机制的对抗。需要注意的是，文中讨论的堆栈都是代指线程在用户层的堆栈，并未涉及内核层的堆栈。

恶意样本对抗栈回溯检测机制的套路浅析

前段时间需要实现对 Windows PE 文件版本信息的提取，如文件说明、文件版本、产品名称、版权、原始文件名等信息。获取这些信息在 Windows 下当然有一系列的 API 函数供调用，简单方便。但是当需要在 Linux 操作系统平台下提取 PE 文件的版本信息数据时，就需要自己对 PE 文件的结构进行手动解析。

从 PE 文件资源表中提取文件的版本信息

这篇文章翻译自一篇多年之前的论文，原文作者是 Tarjei Mandt。原文系统地描述了 win32k 的用户模式回调机制以及相关的原理和思想，可以作为学习 win32k 漏洞挖掘的典范。早前曾经研读过，近期又翻出来整理了一下翻译，在这里发出来做个记录。原文链接在文后可见。

通过 Windows 用户模式回调实施的内核攻击

本文将对 CVE-2016-0165 (MS16-039) 漏洞进行一次简单的分析，并尝试构造其漏洞利用和内核提权验证代码，以及实现对应利用样本的检测逻辑。分析环境为 Windows 7 x86 SP1 基础环境的虚拟机，配置 1.5GB 的内存。

从 CVE-2016-0165 说起：分析、利用和检测（下）

从 CVE-2016-0165 说起：分析、利用和检测（中）

从 CVE-2016-0165 说起：分析、利用和检测（上）

在上一篇文章中提到了 Windows Vista 及之后版本的 Windows 操作系统在驱动程序加载完成后，驱动中调用的一些系统回调函数（如 ObRegisterCallbacks，可用来监控系统中对进线程句柄的操作，如打开进程、复制线程句柄等）等 API 中会通过 MmVerifyCallbackFunction 函数对该驱动程序进行完整性检查，检测未通过则会返回 0xC0000022 拒绝访问的返回值。在这篇文章中将会对这个函数进行简单的分析，以明确其原理。

Windows 内核驱动程序完整性校验的原理分析

这篇文章翻译自一篇英文技术博客。文章讲述了 Windows 7 x64 系统中对指定进程进行特权级别提升的原理和方法。原文链接在文后可见。

在 64 位 Windows 操作系统中的内核特权级别提升

这篇文章通过一次在 Windows XP 和 Windows 7 操作系统内核中分别调用同一个 NtUserXxx 系统调用产生不同现象的问题，对其做了简单分析。

调用 NtUserXXX 引发系统 BSOD 的问题分析

近期在研究和开发基于虚拟化的虚拟 HOOK 技术。在 Windows 7 x64 环境开发实测期间，发现针对 NtCreateThreadEx 函数的 HOOK 存在问题：该函数大部分情况下变得只返回 0xC00000F2 (STATUS_INVALID_PARAMETER_4) 第 4 个参数无效的状态码。这导致系统出现很多问题，大部分的新线程都无法成功创建。为了解决这个问题，在这篇文章中对问题进行追溯，查找到底是哪里导致的。

挂钩 NtCreateThreadEx 导致 0xC00000F2 问题

文章

问答

视频

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

腾讯云开发者社区推出了小刀志专栏，为你提供了小刀志的相关文章，致力于帮助开发者快速成长与发展。

小刀志

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐