马脚的核心在于TRIXX.sys驱动法度榜样中的控制码IOCTL 0x800060C4,该控制码本来用于读取显卡硬件信息,但权限门槛极低,体系中任何通俗法度榜样均可向该驱动发送指令。
经由过程调用体系内核函数HalSetBusDataByOffset,进击者可以从新定义PCI BAR(基址存放器),从软件权限层级(Ring 3)直接跨越防御,读取或修改物理内存中的数据,包含暗码、加密密钥以及操作体系核心保护机制。
更棘手的是,该驱动法度榜样持有合法的EV(Extended Validation)数码签名,有效期至2028年,Windows体系会将其视为完全可托的文件。
这意味着黑客无需直接进击已安装GPU-Z的用户,而是可以将这个有马脚但合法签名的旧版驱动带入目标电脑,实施BYOVD进击,绕过Windows的安然封锁。
GPU-Z作者Wizzard承认部分技巧细节具有参考价值,但辩驳称在Windows情况下通俗用户法度榜样无法直接与驱动通信,必须具备治理员权限才能触发。
今朝Wizzard正在修补马脚,在新版本推出前请谨慎应用,因为此马脚须要本地履行,用户只要不履行可疑文件,黑客就无法应用电脑内的GPU-Z。
发表评论 取消回复