オンサイトセミナー
豊田孝の「IT談話館」 Windowsメモリフォレンジックを依頼する WinDbg




本「IT談話館」はDKOMベースの高度なメモリフォレンジックサービスを提供しています!



Windows 8/10、Windows API、Google Chrome


 本稿では、Windows 8から追加されたといわれる「SetProcessMitigationPolicy」API関数とカーネルの関係を取り上げております。このAPI関数に関する詳しい仕様はMicrosoft社の「このページ」から公開されております。

 「SetProcessMitigationPolicy」API関数を使用しますと、Win32k経由でのGUI入力機能を無効にできるといわれています。セキュリティーの観点からは、状況に応じて不要なGUI入力を無効にできる利点は大きいといってよろしいと思います。本稿では、Windows 10環境で採取されたActive Memory Dumpを本「IT談話館」の独自解析コードで解析し、GUI入力を無効にしているプロセスを検出してみたいと思います。次の情報をご覧ください。
1: kd> dt nt!_eprocess -y disallow
   +0x300 DisallowStrippedImages : Pos 24, 1 Bit
   +0x300 DisallowWin32kSystemCalls : Pos 31, 1 Bit
 本「IT談話館」の独自解析コード内では、Active Memory Dump内に記録されているすべてのカーネルプロセスオブジェクトに直接アクセスし、赤色で強調されているビットが立っているかどうかをチェックします。実行結果を見てみましょう。
1: kd> vertarget
Windows 10 Kernel Version 10240 MP (2 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 10240.16463.amd64fre.th1.150819-1946
Machine Name:
Kernel base = 0xfffff800`6d404000 PsLoadedModuleList = 0xfffff800`6d729030
Debug session time: Thu Oct  1 08:57:05.915 2015 (UTC + 9:00)
System Uptime: 4 days 21:18:39.610

 
0xFFFFE000200CE200	ActiveThreads->010	Win32kDisableFlag->1	chrome.exe
	Thread->FFFFE000230F0840	GuiFlag->0
	Thread->FFFFE0002412A840	GuiFlag->0
	Thread->FFFFE0001F9A8840	GuiFlag->0
	Thread->FFFFE0001F8E2380	GuiFlag->0
	Thread->FFFFE00022F89240	GuiFlag->0
	Thread->FFFFE00024630840	GuiFlag->0
	Thread->FFFFE00023A6B080	GuiFlag->0
	Thread->FFFFE0002641A840	GuiFlag->0
	Thread->FFFFE0002367A840	GuiFlag->0
	Thread->FFFFE0002271C840	GuiFlag->0
 赤色のデータは、Google社の「Chrome.exe」ブラウザの一つのインスタンス「0xFFFFE000200CE200」がWin32k GUI入力を無効にしていることを示しています。かつ、そのインスタンス内で起動されるすべてのスレッドもGUI機能を実装していません。



本「IT談話館」はDKOMベースの高度なメモリフォレンジックサービスを提供しています!



  本「IT談話館」は、高度な内部解析技術を保有し、Windowsクラッシュダンプ、中でもカーネルメモリダンプとWindows 10 Active Memory Dumpの「メモリダンプ解析ビジネス」を展開しております。新しく導入されたAPI関数とカーネルとの本質的な関係やシステムへの影響の評価なども解析工程の一部として行っております。


サービスメニュー
Windowsクラッシュダンプ解析サービス 技術資料 WinDbg

Copyright©豊田孝 2004- 2017
本日は2017-10-21です。