模拟游戏消亡史.pdf

1、模仿游戏消亡史汇报人：张云海时间：2024.08.24TONGDAO目录CONTENT02040103背景Background攻击面的消亡The death of the attack surface攻击面的诞生The birth of an attack surface 总结与展望Summary01Background背景Impersonation 是什么为何引入 ImpersonationServernt authoritysystemAccessResource()ClientNormal UserResourceRPC call为何引入 ImpersonationServernt au

2、thoritysystemAccessCheck()AccessResource()ClientNormal UserResourceRPC callImpersonation 如何工作nt!_EPROCESS+0 x4b8 Token:_EX_FAST_REFnt!_ETHREAD+0 x608 AdjustedClientToken:Ptr64 VoidImpersonation 如何工作Impersonation 如何工作Impersonation 如何工作Servernt authoritysystemRpcImpersonateClient()AccessResource()RpcR

3、evertToSelf()ClientNormal UserRPC callNormal UserImpersonation 如何工作Servernt authoritysystemRpcImpersonateClient()AccessResource()RpcRevertToSelf()ClientNormal UserResourceRPC callNormal UserImpersonation 如何工作Servernt authoritysystemRpcImpersonateClient()AccessResource()RpcRevertToSelf()ClientNormal

4、UserResourceRPC callDeviceMap 是什么我可不是保存图标的手办哦！()DOS 操作系统使用盘符来标识磁盘驱动器 初代 IBM PC 支持最多两个软盘驱动器 硬盘驱动器的盘符从 C:开始DeviceMap 是什么 Windows 操作系统用对象管理器来管理磁盘驱动器DeviceMap 是什么 对 DOS 设备进行映射来保持兼容DeviceMap 是什么 每个登录会话都有自己的本地 DosDevices 上下文DeviceMap 如何工作 将 Win32NtName 转换成 NtPathNameC:pathtofile?C:pathtofileDeviceMap 如何工作

5、 优先使用会话本地 DosDevices 上下文C:pathtofile?C:pathtofileSessions0DosDevices00000000-0001a5aeC:pathtofileDeviceMap 如何工作 未找到则使用全局 DosDevices 上下文C:pathtofile?C:pathtofileGlobal?C:pathtofileDeviceHarddiskVolume3pathtofile02The birth of an attack surface 攻击面的诞生Impersonation 遇上 DeviceMap ImpersonationDeviceMapAt

6、tack SurfaceImpersonation 遇上 DeviceMap Impersonation 使用客户端的 TokenToken 中包含 AuthenticationIdAuthenticationId 决定会话本地 DosDevices 上下文会话本地 DosDevices 上下文决定盘符的映射用户可以修改自己的会话本地 DosDevices 上下文中的映射Impersonation 遇上 DeviceMap Impersonation 使用客户端的 TokenToken 中包含 Authentica