口传入 4 字节进程 ID,并在 Ring 0 层级调用 ZwTerminateProcess 强制终止任意进程,甚至能绕过 PPL(受保护进程)机制。更严重的是,其内核读写功能使用 AES-128-CBC 算法,让解密密钥硬编码在二进制文件的.data 段中,且所有版本使用同一密钥,且该驱动通过了 WHQL 签名认证。目前两个漏洞已提交至 LOLDrivers 数据库,均未获 CVE 编号且不在
当前文章:http://z8ht1o7.wenzhangke.cn/qcxf/m06hpv.pptx
发布时间:08:20:59
