splintersfury/KernelSight

# KernelSight — Windows 内核驱动漏洞利用知识库 [](https://splintersfury.github.io/KernelSight/) [](https://splintersfury.github.io/KernelSight/case-studies/) [](https://splintersfury.github.io/KernelSight/driver-types/) [](https://splintersfury.github.io/KernelSight/guides/corpus-analytics/) [](LICENSE) 一个关于 **Windows 内核驱动漏洞利用** 的结构化知识库 —— 涵盖了漏洞类型、利用原语、BYOVD 攻击活动、漏洞利用链模式以及内核缓解措施。每个条目均基于真实的 CVE，包含驱动程序名称、受影响/已修复的版本以及补丁分析。 **[浏览知识库 →](https://splintersfury.github.io/KernelSight/)** ## 语料库 | 指标 | 数量 | |--------|-------| | CVE 案例研究 | **134** | | 已分析的唯一驱动程序 | **62** | | 在野利用 | **52** | | 可远程利用 | **2** | | BYOVD 驱动程序 | **41** | | 驱动类型分类 | **12** | | 漏洞利用技术页面 | **57** | | AutoPiff 检测规则 | **80+** | ## 内容概览 ### 漏洞利用流水线 KernelSight 按照从驱动识别到权限提升的流水线进行组织： **[驱动类型](https://splintersfury.github.io/KernelSight/driver-types/)** → **[攻击面](https://splintersfury.github.io/KernelSight/attack-surfaces/)** → **[漏洞类型](https://splintersfury.github.io/KernelSight/vuln-classes/)** → **[利用原语](https://splintersfury.github.io/KernelSight/primitives/)** → **[案例研究](https://splintersfury.github.io/KernelSight/case-studies/)** 以及贯穿所有阶段的 **[缓解措施](https://splintersfury.github.io/KernelSight/mitigations/)**。 ### 驱动类型（12 个类别） | 驱动类型 | 示例驱动 | CVEs | 关键模式 | |---|---|---|---| | **File System** | ntfs.sys, fastfat.sys, refs.sys | 7 | 挂载 VHD 使得无权限用户可以访问磁盘解析 | | **Minifilters** | cldflt.sys | 8 | 重解析数据和云文件回调 | | **Log / Transaction** | clfs.sys | 12 | 被利用最多的单一驱动 —— 磁盘元数据损坏 | | **Network Stack** | tcpip.sys, afd.sys, http.sys | 13 | 包含 2 个可远程利用的漏洞 (IPv6 RCE, HTTP RCE) | | **Kernel Streaming** | ks.sys, mskssrv.sys, ksthunk.sys | 12 | IOCTL 处理程序, MDL 映射, 类型混淆 | | **Win32k** | win32k.sys, win32kbase.sys, win32kfull.sys | 12 | 回调重入, 窗口对象竞争 | | **Core Kernel** | ntoskrnl.exe | 9 | Token 竞争, 安全模式绕过, 影响最大 | | **Security / Policy** | appid.sys, ci.dll | 2 | 缺失 IOCTL 访问检查 | | **Storage / Caching** | csc.sys, storvsp.sys | 2 | 逻辑漏洞, PreviousMode 篡改 | | **Vendor Utility** | RTCore64.sys, DBUtil_2_3.sys | 15+ | 物理内存映射, MSR 访问 —— BYOVD 武器 | | **Performance & GPU** | dxgkrnl.sys, dwmcore.dll | 8+ | DMA, 共享内存, 内核流 | | **Third-Party Security** | Truesight.sys, amsdk.sys | 5+ | EDR 绕过, 进程终止原语 | ### 指南 - **[为什么是内核驱动？](https://splintersfury.github.io/KernelSight/guides/why-kernel-drivers/)** —— 硬件强制执行什么, Ring 0 能做什么, 用户模式替代方案 - **[安全驱动的剖析](https://splintersfury.github.io/KernelSight/guides/secure-driver-anatomy/)** —— 导致大多数内核驱动 CVE 的 6 种反模式 - **[语料库分析](https://splintersfury.github.io/KernelSight/guides/corpus-analytics/)** —— 134 个 CVE 按驱动、年份、漏洞类型的可视化分解 - **[漏洞利用链模式](https://splintersfury.github.io/KernelSight/guides/exploit-chain-patterns/)** —— 5 种反复出现的漏洞利用链形态 - **[补丁模式](https://splintersfury.github.io/KernelSight/guides/patch-patterns/)** —— 微软针对各类漏洞的修复方式 - **[缓解措施时间线](https://splintersfury.github.io/KernelSight/guides/mitigation-timeline/)** —— 各项内核防御措施的引入时间 ### 深度解析 - **[CLFS 深度解析](https://splintersfury.github.io/KernelSight/case-studies/clfs-deep-dive/)** —— 12 个 CVE，其中 3 个在野被利用 - **[AFD 深度解析](https://splintersfury.github.io/KernelSight/case-studies/afd-deep-dive/)** —— 13 个 CVE，套接字拆除竞争 - **[Win32k 深度解析](https://splintersfury.github.io/KernelSight/case-studies/win32k-deep-dive/)** —— 12 个 CVE，回调重入 - **[NTFS 深度解析](https://splintersfury.github.io/KernelSight/case-studies/ntfs-deep-dive/)** —— 7 个 CVE，构造 VHD 利用 ### 附加部分 - **[攻击面](https://splintersfury.github.io/KernelSight/attack-surfaces/)** (9) —— IOCTL 处理程序, 文件系统 IRP, NDIS/网络, ALPC, 共享内存, WMI/ETW - **[漏洞类型](https://splintersfury.github.io/KernelSight/vuln-classes/)** (10) —— 缓冲区溢出, UAF, 类型混淆, TOCTOU, 竞争条件, 整数溢出 - **[利用原语](https://splintersfury.github.io/KernelSight/primitives/)** (19) —— 任意读/写系列 + 利用构建块 (pool spray, I/O Ring, WNF, token swap, PreviousMode) - **[缓解措施](https://splintersfury.github.io/KernelSight/mitigations/)** (9) —— SMEP/SMAP, kCFG/kCET, VBS/HVCI, KDP, pool hardening, KASLR - **[BYOVD](https://splintersfury.github.io/KernelSight/reference/byovd/)** —— 自带漏洞驱动攻击模式 - **[工具](https://splintersfury.github.io/KernelSight/tooling/)** —— 静态分析, 模糊测试, 调试, 补丁对比, AutoPiff 集成 ## 快速开始 ### 在线浏览 访问 **[splintersfury.github.io/KernelSight](https://splintersfury.github.io/KernelSight/)** —— 无需安装。 ### 本地服务 ``` git clone https://github.com/splintersfury/KernelSight.git cd KernelSight pip install mkdocs-material mkdocs serve # 打开 http://localhost:8000 ``` ## 相关项目 - **[AutoPiff](https://github.com/splintersfury/AutoPiff)** —— 自动化 Windows 内核驱动补丁对比流水线，为 KernelSight 的案例研究和检测规则提供支持 - **[LOLDrivers](https://www.loldrivers.io/)** —— 社区维护的漏洞驱动和恶意驱动目录 ## 贡献 欢迎贡献 —— 无论是添加案例研究、记录新技术，还是改进现有条目。 1. 使用 `templates/` 中的模板作为起点 2. 遵循 `index/techniques.yaml` 中的 schema 3. 将 CVE 与技术交叉引用，将技术与缓解措施交叉引用 4. 提交 PR ## 许可证 MIT

标签：CVE案例分析, PoC参考, Web报告查看器, Windows内核安全, Windows驱动程序, 内核提权, 内核驱动漏洞, 威胁情报, 开发者工具, 攻击面分析, 漏洞利用研究, 漏洞原语, 漏洞知识库, 漏洞缓解机制, 红队视角, 自动驾驶检测规则, 逆向工具, 防御加固