オンサイトセミナー
豊田孝の「IT談話館」 Windowsメモリダンプ解析を依頼する Windowsクラッシュダンプ解析技術




メモリ解析サービス



Windows 10、Win32k、Google Chrome、Microsoft Edge


 本稿では、Windows 8から追加されたといわれる「SetProcessMitigationPolicy」API関数とカーネルの関係を取り上げております。このAPI関数に関する詳しい仕様はMicrosoft社の「このページ」から公開されています。

 「SetProcessMitigationPolicy」API関数を使用しますと、Win32k経由でのGUI入力機能を無効にできるといわれています。セキュリティーの観点からは、状況に応じて不要なGUI入力を無効にできる利点は大きいといってよろしいと思います。本稿では、Windows 10環境で採取されたActive Memory Dumpを本「IT談話館」の独自解析コードで解析し、Google ChromeとMicrosoft EdgeのWin32k GUI入力処理を調査します。次の情報をご覧ください。
0: kd> vertarget
Windows 10 Kernel Version 16299 MP (2 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 16299.15.amd64fre.rs3_release.170928-1534
Machine Name:
Kernel base = 0xfffff802`e5a99000 PsLoadedModuleList = 0xfffff802`e5dfafb0
Debug session time: Thu Nov 30 09:08:09.753 2017 (UTC + 9:00)
System Uptime: 1 days 1:29:36.413

Disabled->0	AuditDisabled->0	EnableFilter->0	AuditFiltered->0	chrome.exe
Disabled->0	AuditDisabled->0	EnableFilter->0	AuditFiltered->0	chrome.exe
Disabled->0	AuditDisabled->0	EnableFilter->0	AuditFiltered->0	chrome.exe
Disabled->0	AuditDisabled->0	EnableFilter->0	AuditFiltered->0	chrome.exe
Disabled->1	AuditDisabled->0	EnableFilter->0	AuditFiltered->0	chrome.exe
Disabled->0	AuditDisabled->0	EnableFilter->0	AuditFiltered->0	MicrosoftEdge.
Disabled->0	AuditDisabled->0	EnableFilter->1	AuditFiltered->1	MicrosoftEdgeC
Disabled->0	AuditDisabled->0	EnableFilter->0	AuditFiltered->0	MicrosoftEdgeC
Disabled->0	AuditDisabled->0	EnableFilter->1	AuditFiltered->1	MicrosoftEdgeC
Disabled->0	AuditDisabled->0	EnableFilter->0	AuditFiltered->0	MicrosoftEdgeC
Disabled->0	AuditDisabled->0	EnableFilter->1	AuditFiltered->1	MicrosoftEdgeC
Disabled->0	AuditDisabled->0	EnableFilter->1	AuditFiltered->1	MicrosoftEdgeC
 赤色のデータは次のようなことを示しています。  Win32k入力制御は、CFG、DEP、フォント制御、ダイナミックコード制御などともにセキュリティー緩和策の一部であり、Windows 10カーネル層における実装状況はビルド単位で異なっています。つまり、一口にWindows 10といいましても、ビルド単位で出荷されるカーネルは(時には、劇的に)異なります。

 「このようなブログ」を読んでみますと、GoogleとMicrosoftそれぞれのブラウザチームはお互いの開発姿勢を強く意識しながら作業していることが分かります。


オンサイトセミナー



  本「IT談話館」は、高度な内部解析技術を保有し、Windowsクラッシュダンプ、中でもカーネルメモリダンプとWindows 10 Active Memory Dumpの「メモリダンプ解析ビジネス」を展開しております。新しく導入されたAPI関数とカーネルとの本質的な関係やシステムへの影響の評価なども解析工程の一部として行っています。


サービスメニュー
Windowsクラッシュダンプ解析サービス Windowsメモリフォレンジック

Copyright©豊田孝 2004- 2017
本日は2017-12-13です。