Iris:一款可执行常见Windows漏洞利用检测的WinDbg扩展

文章目录

    • 针对当前进程:
    • 针对已加载的模块:
  • 工具安装
    • WinDbg 10.0.xxxxx
  • 加载扩展
    • 工具运行
  • 项目地址

Iris是一款WinDbg扩展,它可以针对常见的Windows进程缓解进行安全检测,并给研究人员提供详细的检测数据。

1.png2.png

我们可以从上面给出的截图中看到检测的详细信息,其中包括:

针对当前进程:

-DEP策略

-ASLR策略

-ACG策略

-系统调用策略(禁用Win32k系统调用)

-控制流守护策略

-图像加载签名策略(微软签名、存储签名)

-进程字体策略

-进程镜像加载策略

-缓解选项(SEHOP)

针对已加载的模块:

-DynamicBase

-ASLR

-DEP

-SEH

-SafeSEH

-CFG

-RFG

-GS

-AppContainer

如果你不知道上面这些关键词的意思,那么你需要自己上网搜索了。

工具安装

输入下列命令将项目代码拷贝到本地:

git clone https://github.com/fdiskyou/iris.git

接下来,将项目目录中的x86\iris.dll或x64\iris.dll文件拷贝到WinDbg的winext目录中(针对系统架构选择对应的x86或x64)。

WinDbg 10.0.xxxxx

除非你将调试工具安装到了非标准路径,否则你可以直接根据下面路径找到winext目录:

C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\winext

如果你使用的是32位系统,那么路径则为:

C:\Program Files (x86)\Windows Kits\10\Debuggers\x86\winext

加载扩展

完成了上述操作之后,我们就可以使用“.load iris”命令来加载扩展,并运行“!iris.help”命令来查看所有可用的命令了:

0:014> .load iris

[+] Iris WinDbg Extension Loaded

0:014> !iris.help

 

IRIS WinDbg Extension ([email protected]). Available commands:

help                  = Shows this help

modules               = Display process mitigations for all loaded modules.

mitigations           = Display current process mitigation policy.

工具运行

正如文章开头的工具运行截图所示,我们可以直接运行“!iris.modules”(“!modules”)或“!iris.mitigations”(!mitigations)命令来使用Iris了。

项目地址

Iris:【GitHub传送门

*参考来源:fdiskyou,FB小编Alpha_h4ck编译,转载请注明来自一一网络博客

免责声明:务必仔细阅读

  • 本站为个人博客,博客所转载的一切破解、path、补丁、注册机和注册信息及软件等资源文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。

  • 本站为非盈利性站点,打赏作为用户喜欢本站捐赠打赏功能,本站不贩卖软件等资源,所有内容不作为商业行为。

  • 本博客的文章中涉及的任何解锁和解密分析脚本,仅用于测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断.

  • 本博客的任何内容,未经许可禁止任何公众号、自媒体进行任何形式的转载、发布。

  • 博客对任何脚本资源教程问题概不负责,包括但不限于由任何脚本资源教程错误导致的任何损失或损害.

  • 间接使用相关资源或者参照文章的任何用户,包括但不限于建立VPS或在某些行为违反国家/地区法律或相关法规的情况下进行传播, 博客对于由此引起的任何隐私泄漏或其他后果概不负责.

  • 请勿将博客的任何内容用于商业或非法目的,否则后果自负.

  • 如果任何单位或个人认为该博客的任何内容可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明至admin@proyy.com.我们将在收到认证文件后删除相关内容.

  • 任何以任何方式查看此博客的任何内容的人或直接或间接使用该博客的任何内容的使用者都应仔细阅读此声明。博客保留随时更改或补充此免责声明的权利。一旦使用并复制了博客的任何内容,则视为您已接受此免责声明.

您必须在下载后的24小时内从计算机或手机中完全删除以上内容.

您使用或者复制了本博客的任何内容,则视为已接受此声明,请仔细阅读


更多福利请关注一一网络微信公众号或者小程序

一一网络微信公众号
打个小广告,宝塔服务器面板,我用的也是,很方便,重点是免费的也能用,没钱太难了,穷鬼一个,一键全能部署及管理,送你3188元礼包,点我领取https://www.bt.cn/?invite_code=MV9kY3ZwbXo=


一一网络 » Iris:一款可执行常见Windows漏洞利用检测的WinDbg扩展

发表评论

发表评论

一一网络-提供最优质的文章集合

立即查看 了解详情