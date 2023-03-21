图 4—afd!AfdNotifyReMoveIoCompletion 打补丁后

上图所示的此变更是对已确定函数的唯一更新。某些快速分析表明，眼下正根据 PreviousMode 进行检查。如果 PreviousMode 为零（表明此调用源自内核）时，则表示某个值将被写入未知结构中某一字段指定的指针内。另一方面，如果 PreviousMode 不为零，则会调用 ProbeForWrite 以确保该字段中设置的指针是位于用户模式中的有效地址。

打补丁前的驱动程序版本缺少此项检查。由于该函数有一个针对 PreviousMode 的特定 switch 语句，因此假设开发者本打算添加此项检查但忘了这么做（有时我们都缺咖啡 ☕！）。

从此次更新中，我们可推断出攻击者可通过受控值（位于未知结构的 field_0x18 ）访问此代码路径。如果攻击者能用内核地址填充此字段，则可创建任意内核 Write-Where 原语。目前还不清楚写入的是什么值，但任何值都有可能用于本地权限提升原语。