SeEtwWriteKMCveEvent-Funktion (wdm.h)
Die SeEtwWriteKMCveEvent-Funktion ist eine Ablaufverfolgungsfunktion zum Veröffentlichen von Ereignissen, wenn in Ihren Kernelmodustreibern ein versuchter Exploit für Sicherheitsrisiken erkannt wird.
Syntax
NTSTATUS SeEtwWriteKMCveEvent(
[in] PCUNICODE_STRING CveId,
[in, optional] PCUNICODE_STRING AdditionalDetails
);
Parameter
[in] CveId
Ein Zeiger auf eine Zeichenfolge, die die CVE-ID erwähnt, die der Sicherheitsanfälligkeit zugeordnet ist, für die dieses Ereignis ausgelöst wird. Weitere Informationen finden Sie unter Technische Anleitung zum Behandeln der neuen CVE-ID-Syntax.
[in, optional] AdditionalDetails
Ein Zeiger auf eine Zeichenfolge, die zusätzliche Details enthält, die der Ereignisproduzent dem Consumer dieses Ereignisses möglicherweise bereitstellen möchte.
Rückgabewert
SeEtwWriteKMCveEvent gibt einen der folgenden Werte zurück:
| Rückgabecode | Beschreibung |
|---|---|
| STATUS_SUCCESS | Der Treiber wurde erfolgreich veröffentlicht. |
| ERROR_INVALID_PARAMETER | Ungültiger Zeiger auf CVE-ID übergeben. Ereignisse können aus mehreren Gründen verlorengehen. Beispielsweise, wenn die Ereignisrate zu hoch ist oder die Ereignisgröße größer als die Puffergröße ist. In diesen Fällen wird der EventLost-Indikator , ein Element der EVENT_TRACE_PROPERTIES-Struktur für die entsprechende Protokollierung, mit der Anzahl der nicht aufgezeichneten Ereignisse aktualisiert. |
Hinweise
Die SeEtwWriteKMCveEvent-Funktion veröffentlicht ein CVE-basiertes Ereignis. Diese Funktion sollte nur in Szenarien aufgerufen werden, in denen die Anwendung versucht, eine bekannte, gepatchte Sicherheitsanfälligkeit auszunutzen. Im Idealfall sollte dieser Funktionsaufruf als Teil des Fixs (Update) selbst hinzugefügt werden. Der Standard-Consumer für dieses Ereignis ist EventLog-System. Um einen anderen Consumer zu aktivieren, kann der Anbieter der Consumersitzung hinzugefügt werden.
Anbieter-GUID: 85a62a0d-7e17-485f-9d4f-749a287193a6
Quellname: Microsoft-Windows-Audit-CVE oder CVE-Audit
Beispiele
NTStatus status;
UNICODE_STRING CVEID;
UNICODE_STRING EventDetails;
…
RtlInitUnicodeString(&CVEID, L"CVE-2015-0000");
RtlInitUnicodeString(&EventDetails, L"Vulnerable request with data is logged in %temp%\abc.log");
status = SeEtwWriteKMCveEvent( &CVEID, &EventDetails);
Anforderungen
| Anforderung | Wert |
|---|---|
| Unterstützte Mindestversion (Client) | Verfügbar in Windows 10 und höheren Versionen von Windows |
| Zielplattform | Windows |
| Kopfzeile | wdm.h |
| Bibliothek | Ntoskrnl.lib |
| DLL | Ntoskrnl.exe |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für