關于CFB

CFB，全名為Canadian Furious Beaver，是一款功能強大的Windows驅動程序模糊測試工具，該工具可以幫助廣大研究人員監控Windows驅動程序中的IRP處理器，并對Windows驅動程序漏洞進行分析、復現和模糊測試。

CFB本質上是一款分布式工具，可以捕捉發送給任何Windows驅動程序的IRP。它主要由兩部分組成：

(1) 該工具的“Broker”(代理)結合了用戶端代理和一個能將自己安裝到目標系統上的自提取驅動程序(IrpDumper.sys)。運行之后，它將暴露(取決于編譯選項)遠程命名管道(可從\\target.ip.address\pipe\cfb訪問)或偵聽TCP/1337的TCP端口。該工具所實現的通信協議設計簡單，允許任何第三方工具輕松地(通過簡單的JSON消息)從同一個代理轉儲驅動程序IRP。

(2) CFB的GUI是一個采用ProcMon風格的Windows 10 UWP應用程序：它將連接到代理所在的任何位置，并提供一個方便的GUI來操作代理(驅動程序枚舉、鉤子和IRP捕獲)。它還提供了偽造/重放IRP、自動模糊測試(即對捕獲的每個IRP采用特定的模糊策略)或以各種格式提取IRP，方便研究人員進行深入分析。捕獲的數據可以以易于解析的格式(*.cfb=SQLite)保存在磁盤上，以便進一步分析，或隨后在GUI中重新加載。

盡管GUI顯然需要Windows 10環境(UWP應用程序)中使用，但代理本身可以部署在任何Windows 7+主機(x86或x64)上。目標主機必須啟用testsigning BCD策略，因為自解壓驅動程序不支持WHQL。

機制分析

IrpDumper.sys是CFB Broker代理的驅動程序部分，它將在啟動時自動提取和安裝。驅動程序將負責通過代理傳遞的IOCTL掛接請求掛接到驅動程序的IRP主功能表。成功后，驅動程序的IRP表將指向IrpDumper.sys攔截程序，我們也可以輕松通過調試器或WinObjEx64之類的工具查看到相關信息。

IrpDumper.sys本身可以充當一個rootkit，并代理所有對目標驅動程序的調用。當DeviceIoControl被發送給掛鉤的驅動程序時，IrpDumper只需捕獲數據(如果有)，并將消息推送到用戶端代理，然后將執行返回給合法的驅動程序，從而允許預期的代碼按預期繼續執行。代理會將所有這些數據存儲在用戶區域中，等待事件去請求它們。

工具構建

(1) GUI

首先，我們需要使用下列命令將該項目源碼克隆至本地：

1. git clone https://github.com/hugsy/CFB.git

接下來，使用Visual Studio構建項目根目錄中的CFB.sln代理解決方案。除此之外，我們還可以通過構建GUI(Unicersal Windows)項目來構建App GUI。

(2) 命令行

首先，我們需要使用下列命令將該項目源碼克隆至本地：

1. git clone https://github.com/hugsy/CFB.git

然后通過VS命令行終端運行下列命令：

1. C:\cfb\> msbuild CFB.sln /p:Configuration=$Conf

其中的$Conf可以設置為Releases或Debug。

工具安裝&配置

在Windows 7+設備上(推薦使用Windows 10 SDK VM)，啟用BCD測試簽名選項(以管理員權限啟動cmd.exe)：

1. C:\> bcdedit.exe /set {whatever-profile} testsigning on

如果使用了調試模式，IrpDumper.sys將提供更多的詳細信息。我們可以通過DebugView.exe之類的工具或WinDbg之類的內核調試器來查看全部的相關信息。此時，我們必須啟用內核調試BCD選項(以管理員權限啟動cmd.exe)：

1. C:\> bcdedit.exe /set {whatever-profile} debug on

工具運行截圖

IRP攔截界面：

IRP詳情

IRP重放：

項目地址

CFB：【GitHub傳送門】

原文鏈接：https://www.freebuf.com/articles/system/318203.html