[2021]windows 2021H奇怪的安全机制导致堆栈回溯出现问题 huoji windows 2021H,漏洞缓解 2021-04-25 1196 次浏览 1 次点赞 今天发现的,我syscall hook了zwcreatefile这个API做了堆栈回溯: ![](https://key08.com/usr/uploads/2021/04/1314842216.png) 结果各种bug,详细看: ![](https://key08.com/usr/uploads/2021/04/2583737094.png) ![](https://key08.com/usr/uploads/2021/04/1983365686.png) 似乎windows 2021H先申请了一个read only内存,然后给这个read only内存设置了excute属性,设置完毕后再执行系统代码.执行完毕后再设置为noaccess 因此堆栈回溯会看到大部分都在private属性里面,如果异步回溯则看到noaccess 挺奇怪的机制.目前不确定为什么.暂时没空逆向,如果有知道的tx可以在评论区留言 本文由 huoji 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。 点赞 1
这里参考了一下MJ的博客
https://blogs.360.cn/post/Windows10_19577_Ntdll_in_SystemProcess.html
可能这个机制已经在20h1存在了