保护您的计算机免受内核内存中 KASLR 绕过漏洞的攻击

保护您的计算机免受内核内存中 KASLR 绕过漏洞的攻击

Windows 内核是连接硬件和操作系统的关键桥梁。凭借其强大的默认安全措施,恶意软件很难入侵您的系统。然而,日益增多的 KASLR 绕过威胁正在利用 Living Off the Land 驱动程序 (LOLDrivers) 中的漏洞和缓存计时攻击来规避提升的访问权限。虽然这些攻击过去主要针对较旧的系统,但有证据表明,它们现在也威胁着 Windows 11 24H2,导致关键内核内存泄露。以下是有关如何有效修复这些安全漏洞的全面指南。

了解 KASLR 绕过威胁

Windows 内核会严格控制对重要系统资源的访问,包括内存和 CPU 使用率。内核地址空间布局随机化 (KASLR) 是其采用的关键防御措施之一,旨在模糊内存位置,从而极大地增加内核级恶意软件的访问难度。然而,最近的研究进展使得新驱动程序eneio64.sys得以利用,并于 2025 年 6 月成功绕过了 Windows 11 24H2 中的 KASLR 保护机制。

此特定驱动程序被归类为 LOLDriver,可使用所谓的“Low Stub”技术进行攻击。本质上,攻击者利用内存扫描和合理的猜测来精确定位系统的内存基址。成功绕过内核会为现实世界的攻击打开大门,凸显出严重威胁级别。

检查 System32 驱动程序列表。

您可以手动检查 System32 文件夹中是否存在这些驱动程序。如果您没有检测到任何问题的驱动程序,则表明它们不存在或已被正确删除。

2025 年 5 月发生的另一个值得注意的漏洞利用是使用缓存计时方法完全绕过 KASLR。攻击者无需获得SeDebugPrivilege等权限,即可测量“0xfff”范围内潜在内核地址的访问延迟。虽然此次攻击主要针对 Windows 10 及更早的 Windows 11 版本(21H2、22H2、23H2),但 Windows 11 用户务必升级到 24H2 或更高版本,以增强防御能力。对于在升级到 24H2 时遇到兼容性问题的用户,我们整理了一份有效的解决方案列表,以帮助您顺利过渡。

识别 LOLDrivers 以降低 KASLR 绕过风险

2025 年后,Windows 11 24H2 中的内核安全增强功能利用了SeDebugPrivilege来提供更强大的保护。然而,恶意攻击者仍在继续通过 LOLDrivers 利用 KASLR 绕过技术来渗透最新的 Windows 11 版本。

要检查有问题的系统驱动程序,请以提升模式启动 PowerShell 并执行以下命令:

Get-WindowsDriver -Online | Where-Object { $_. OriginalFileName -match "sys"} | Format-Table OriginalFileName, ProviderName

在 PowerShell 提升模式下获取 System32 驱动程序列表。

运行此命令后,请监控 LOLDrivers 的输出。此类驱动程序的示例包括 MsIo64.sys、nt3.sys 和 VBoxTap.sys。为了提高警惕,请参阅 LOLDrivers 的通用列表。

微软提供了一份全面更新的已阻止或过时驱动程序列表,其中包括 LOLDrivers。您可以下载此列表的 XML 文件,并使用以下命令专门搜索有问题的驱动程序,例如 enio64.sys:

Get-WindowsDriver -Online | Where-Object { $_. OriginalFileName -match "eneio64.sys"}

在 PowerShell 中搜索特定的 LOLDriver,enio64.sys

上述方法可确保您的设备免受易受攻击的 LOLDrivers 的攻击,这些驱动程序可能会绕过 KASLR。更方便用户操作的方法是:前往“Windows 安全” -> “设备安全” -> “核心隔离详细信息”,并确认已激活“内存完整性”功能。

内存完整性在 Windows 安全中的核心隔离下启用。

KASLR 绕过技术与 Winos 4.0 恶意软件的行为类似。两者都具有高度持久性,并通过复杂的攻击链传递有效载荷。

通过强制执行 SeDebugPrivilege 来增强 Windows 安全性

缓存定时侧信道攻击是与 KASLR 绕过技术相关的重大风险。当攻击者利用各种方法直接操纵内核内存时,他们可以暴露内核地址,而无需SeDebugPrivilege权限(这是自 Windows 11 24H2 推出以来强制实施的一项关键安全措施)。

但是,即使是使用 Windows 10 和 Windows 11 旧版本的用户仍然可以通过强制执行SeDebugPrivilege来增强其系统。以下是一种快速方法:

在 Windows 10/11 Pro 或 Enterprise 设备上,按下“运行”命令,输入secpol.msc,这将打开“本地安全策略”窗口。导航到“本地策略” -> “用户权限分配”,然后双击“调试程序”

双击“本地策略 --> 用户权限分配”下的“调试程序”。title=”双击“本地策略 --> 用户权限分配”下的“调试程序”。width=”701″ height=”451″ 加载中=”lazy” class=”wp-image” src=”https://cdn.thefilibusterblog.com/wp-content/uploads/2025/06/KASLR-Bypass-Local-Security-Policies-Debug-Programs.webp”/></figure> <p>如果已为指定用户组(例如管理员)启用“调试程序”设置,则无需进一步操作。否则,请点击<strong>添加用户或组</strong>将此权限扩展到其他用户。</p> <figure class=您的设备上默认启用“调试程序”设置。

添加新用户后,点击“检查姓名” ,然后点击“确定”。最后,选择“应用”,再次点击“确定”即可完成更改。

将用户名或组添加到 SeDebugPrivilege 列表。

如果您使用的是 Windows 10/11 家庭版,则无法访问本地安全策略。请输入 来访问注册表编辑器regedit。导航至

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

如果此项尚不存在,请创建。右键单击以创建一个名为 的新 REG_SZ 值SeDebugPrivilege,并将其值调整为Administrators。请记住,在进行任何更改之前,务必备份注册表。

为了抵御 KASLR 绕过等内核导向的恶意软件威胁,阻止安装 Windows 安全中心标记的驱动程序至关重要。虽然在极少数情况下可能需要未签名的驱动程序,但遵循这方面的最佳实践至关重要。保持操作系统更新并采用最新的 Windows 版本是确保系统安全的基础。

常见问题

1.什么是 KASLR 以及它对 Windows 安全为何重要?

KASLR(内核地址空间布局随机化)是 Windows 中的一项安全功能,它可以随机化内核进程的内存分配,从而显著提高恶意软件预测恶意代码注入位置的难度。这种随机布局为抵御内核级攻击增加了一道关键的防御层。

2.如何在 Windows 机器上检查 LOLDrivers?

您可以使用提升模式下的 PowerShell 轻松检查 LOLDrivers。运行该命令Get-WindowsDriver -Online | Where-Object { $_. OriginalFileName -match "sys"} | Format-Table OriginalFileName, ProviderName即可查看系统上当前安装的驱动程序列表。

3.如果我的系统驱动程序过时或不安全,我该怎么办?

如果您遇到过时或可能不安全的驱动程序,建议将其卸载,并替换为 Microsoft 推荐的安全、最新的驱动程序。此外,您还可以从 Microsoft 下载最新的驱动程序阻止列表,以识别并阻止安装已知的不安全驱动程序。

来源和图片

相关文章:

在 Docker 中运行 GUI 应用程序:分步指南
你需要知道的十大标志性动漫剑

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注