SeEtwWriteKMCveEvent-Funktion (wdm.h)

Artikel
02/29/2024

Die SeEtwWriteKMCveEvent-Funktion ist eine Ablaufverfolgungsfunktion zum Veröffentlichen von Ereignissen, wenn in Ihren Kernelmodustreibern ein versuchter Exploit für Sicherheitsrisiken erkannt wird.

Syntax

NTSTATUS SeEtwWriteKMCveEvent(
  [in]           PCUNICODE_STRING CveId,
  [in, optional] PCUNICODE_STRING AdditionalDetails
);

Parameter

[in] CveId

Ein Zeiger auf eine Zeichenfolge, die die CVE-ID erwähnt, die der Sicherheitsanfälligkeit zugeordnet ist, für die dieses Ereignis ausgelöst wird. Weitere Informationen finden Sie unter Technische Anleitung zum Behandeln der neuen CVE-ID-Syntax.

[in, optional] AdditionalDetails

Ein Zeiger auf eine Zeichenfolge, die zusätzliche Details enthält, die der Ereignisproduzent dem Consumer dieses Ereignisses möglicherweise bereitstellen möchte.

Rückgabewert

SeEtwWriteKMCveEvent gibt einen der folgenden Werte zurück:

Rückgabecode	Beschreibung
STATUS_SUCCESS	Der Treiber wurde erfolgreich veröffentlicht.
ERROR_INVALID_PARAMETER	Ungültiger Zeiger auf CVE-ID übergeben. Ereignisse können aus mehreren Gründen verlorengehen. Beispielsweise, wenn die Ereignisrate zu hoch ist oder die Ereignisgröße größer als die Puffergröße ist. In diesen Fällen wird der EventLost-Indikator , ein Element der EVENT_TRACE_PROPERTIES-Struktur für die entsprechende Protokollierung, mit der Anzahl der nicht aufgezeichneten Ereignisse aktualisiert.

Rückgabecode

Beschreibung

STATUS_SUCCESS

Der Treiber wurde erfolgreich veröffentlicht.

ERROR_INVALID_PARAMETER

Ungültiger Zeiger auf CVE-ID übergeben. Ereignisse können aus mehreren Gründen verlorengehen. Beispielsweise, wenn die Ereignisrate zu hoch ist oder die Ereignisgröße größer als die Puffergröße ist. In diesen Fällen wird der EventLost-Indikator , ein Element der EVENT_TRACE_PROPERTIES-Struktur für die entsprechende Protokollierung, mit der Anzahl der nicht aufgezeichneten Ereignisse aktualisiert.

Hinweise

Die SeEtwWriteKMCveEvent-Funktion veröffentlicht ein CVE-basiertes Ereignis. Diese Funktion sollte nur in Szenarien aufgerufen werden, in denen die Anwendung versucht, eine bekannte, gepatchte Sicherheitsanfälligkeit auszunutzen. Im Idealfall sollte dieser Funktionsaufruf als Teil des Fixs (Update) selbst hinzugefügt werden. Der Standard-Consumer für dieses Ereignis ist EventLog-System. Um einen anderen Consumer zu aktivieren, kann der Anbieter der Consumersitzung hinzugefügt werden.

Anbieter-GUID: 85a62a0d-7e17-485f-9d4f-749a287193a6

Quellname: Microsoft-Windows-Audit-CVE oder CVE-Audit

Beispiele

NTStatus status;
UNICODE_STRING CVEID;
UNICODE_STRING EventDetails;

…

RtlInitUnicodeString(&CVEID, L"CVE-2015-0000");
RtlInitUnicodeString(&EventDetails, L"Vulnerable request with data is logged in %temp%\abc.log");

status = SeEtwWriteKMCveEvent( &CVEID, &EventDetails);

Anforderungen

Anforderung	Wert
Unterstützte Mindestversion (Client)	Verfügbar in Windows 10 und höheren Versionen von Windows
Zielplattform	Windows
Kopfzeile	wdm.h
Bibliothek	Ntoskrnl.lib
DLL	Ntoskrnl.exe

Freigeben über