二进制安全游戏安全C/C++汇编Shellcode [2021]EAC可能使用g_CiEaCacheLookasideList检查漏洞驱动 当系统加载驱动的时候,ntoskernel.exe会call CiValidateImageHeader CiValidateImageHeader中有一个叫做CipGetFileCache的东西,当驱动加载完毕,系统会将签名信息存放到g_CiEaCacheLookasideList中作为缓存,EAC极有可能扫描这个地方去寻找有问题的驱动加载,调用链: CiValidateImageHeader->CipValidateFileInCache->CipGetFileCache->g_CiEaCacheLookasideList  阅读全文 2021-02-06 huoji 0 条评论
